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PDD 有 伍 晶 行为 分 析 报 告 
摘要 


拼 多 多 持续 挖掘 利用 手机 三 商 和 云 服务 的 漏洞 用 于 获 客 、 用 户 留 存 、 规 避 隐 私 合 规 监 管 和 突破 系统 限制 从 而 获 
取 用 户 精准 画像 、 突 破 系 统 限 制 大 量 触 达 用 户 促进 交易 转化 . 以 年 为 单位 保守 估计 ， 通 过 强迫 用 户 安装 获得 5 干 
万 的 新 增 用 户 ， 节 省 了 1 亿 App 推 广 费用 ; 通过 利用 手机 操作 系统 漏洞 盗 取 大 量 用 户 隐私 ， 从 而 更 懂 用 户 ， 并 获 
得 40% 的 用 户 鲁 达 提升 ， 带 动 40% 的 GMV， 强 迫 用 户 安装 的 行为 包括 ， 通 过 利用 应 用 商店 、 微 信 浏 览 器 、 链 接 
跳 转 漏洞 配合 社交 裂变 远程 静默 安装 ; 利用 手机 操作 系统 漏洞 的 行为 包括 ， 利 用 安 卓 系统 和 OEM 漏 洞 提 权 成 为 
超级 用 户 ， 然 后 安装 后 和 门 驻 留 系统 ， 随 后 进行 App 无 法 卸载 、App 无 法 关 掉 、 盗 取 其 他 App 数 据 (包括 聊天 记录 
和 上 网 行为 等 ) 、 伪 装 成 其 他 App 骗 用 户 打 开 、 逃 避 合 规 监管 大 量 获取 用 户 隐私 信息 、 绕 过 操作 系统 通知 限制 
等 动作 ， 从 而 实现 留存 转化 率 提 升 、 提 高 用 户 触 达 率 、DAU、MAU、 用 户 精准 画像 、 广 告 收入 和 交易 转化 率 提 
升 等 。 回 望 这 些 手段 ， 是 否 终于 明白 了 拼 多 多 便 经 的 爆炸 式 增长 神话 的 真正 原因 之 一 ? 这 些 非法 行为 ， 守 至 被 
曝光 的 时 间 ， 都 在 给 其 业务 带 来 火箭 般 助力 ， 正 如 其 代码 中 所 述 : PddRocket. 


一 句 话 来 说 ， 拼 多 多 将 4 亿 用 户 设备 变 成 了 被 其 完全 控制 用 于 件 利 的 僵尸 网 络 ， 这 堪 称 史上 最 大 的 入侵 事件 ， 其 
至 连 NSA 都 办 不 到 。 


拼 多 多 在 其 公开 发 布 的 主 站 App 中 捆绑 精心 加 固 过 得 漏洞 利用 代码 ， 根 据 对 其 App 代 码 的 逆向 分 析 、 策 略 分 
析 、 行 业 广 商 反 馈 ， 该 行为 已 经 全 量 全 地 域 覆 盖 其 用 户 ， 约 4 亿 以 上 受 影响 设备 ， 并 通过 包含 上 万 个 配置 项 的 云 


端 策略 进行 精细 化 控制 ， 对 其 业务 发 展 产 生 了 巨大 优势 。 本 文 对 其 进行 了 逆向 分 析 ， 并 对 其 行为 、 技 术 架 构 、 
实现 方式 进行 了 总 结 ， 相 关 技 术 细节 分 析 见 附录 一 。 


拼 多 多 总 体 恶 意 行 为 围绕 着 获 客 、 促 交易 、 高 日 活 三 个 目的 ， 具 体 行为 可 分 为 保 活 、 诱 导 欺 骗 、 防 生 载 、 信 息 
收集 、 攻 击 感染 五 个 大 类 。 其 中 ， 高 日 活 目 的 主要 由 以 下 几 类 行为 实现 : 


。 保 活 行为 
。 诱导 欺骗 行为 
。 防 外 载 行为 
。 攻击 感染 行为 
获 客 目的 由 以 下 行为 实现 : 
。 远程 静默 安装 行为 和 链接 伪造 行为 


此 类 行为 可 大 幅 提 高 其 App 活 跃 度 ， 实 时 推送 用 户 促销 消息 、 提 升 转化 率 ， 提 升 DAU/MAU、 装机 量 促 交 易 目 
的 主要 由 如 下 几 类 实现 : 

。 保 活 行为 

。 诱导 欺骗 行为 

。 信息 收集 行为 


此 类 行为 可 供 其 取得 相当 多 政策 和 权限 不 允许 获取 的 用 户 隐私 信息 、 竞 对 机 密 数 据 ， 对 用 户 和 其 他 App 进 行 精 
准 画 像 甚至 重建 其 社会 关系 网 ， 精 准 推送 提高 交易 转化 率 。 同 时 配合 通过 绕 过 系统 和 厂商 限制 ， 对 用 户 持续 性 
推送 消息 吸引 促进 用 户 购买 。 


各 行为 描述 和 歼 盖 机 型 如 下 : 
保 活 行为 
定义 : 保 活 行为 ， 指 将 自己 加 入 系统 的 自 后 动 白 名 单 、 关 联 后 动 白 名 单 、 后 台 白 名 单 、 锁 屏 白 名单 、 悬 浮 窗 、1 


像素 透明 图 标 、 省 电 策 略 等 方式 ， 绕 过 系统 强制 休眠 限制 ， 持 续 后 台 存 活 。 修 改 隐 藏 自 身 耗 电量 ， 逃 避 用 户 注 
意 。 实 现 细节 见 保 活 功能 插件 


作用 : 可 实时 推送 用 户 促销 消息 、 提 升 转化 率 ; 后 台 收 集 用 户 行为 ， 辅 助 风 控 ， 监 听 用 户 操作 ， 其 他 App 操 作 
诱导 期 骗 行 为 


定义 : 通过 相关 权限 ， 绕 过 系统 限制 构造 相关 全 屏 广 告 、 虚 假 通知 〈 例 如 锁 屏 、 解 锁 、 全 屏 红 包 消 息 ) ， 诱 导 
用 户 点 击 ; 劫持 用 户 壁纸 ， 劫 持 用 户 日 历 、 阅 钟 等 ; 一 直 展 示 消 息 未 读 状 态 ， 吸 引用 户 点 击 ; 修改 用 户 电 池 状 
态 。 实 现 方 式 见 Strategy 分 析 


防 印 载 行为 


定义 : 通过 假 图 标 、Widget 等 方式 ， 让 用 户 在 桌面 无 法 删除 app ; 或 通过 注入 系统 进程 方式 ， 拦 截 回 滩 用 户 和 
载 操 作 


信息 收集 行为 
用 户 隐私 信息 收集 


义 : 通过 漏洞 ， 突 破 隐 私 合 规 监管 和 系统 限制 ， 为 自身 添加 权限 ， 收 集 用 户 的 位 置 、Wifi、 识 别 码 、 相 册 、 


作用 : 提升 业务 转化 率 ， 进 行 风 控 ， 客 诉 处 理 分析 ， 对 竞争 对 手 人 员 、 供 应 商 、 特 定 人 群 进行 监控 。 微 信 聊 天 
记录 后 台 进 行 解密 分 析 


行业 信息 收集 


定义 : 提 权 后 或 通过 漏洞 ， 获 取 其 他 运行 情况 ， 获 取 其 他 App DAU、MAU 和 当前 页 面 ， 通 知 历史 。 监 控 list 中 
明确 包含 淘宝 、 头 条 等 多 个 头 部 厂商 。 实 现 细节 参见 信息 收集 插件 


作用 : 监控 竞 对 数据 
攻击 、 感 染 行为 


定义 : 提 权 后 攻击 其 他 App、 系 统 App， 覆 盖 文 件 驻 留 后 门 ， 进 行 持久 化 ; 为 自身 添加 权限 ; 杀 掉 其 他 App。 实 
现 方 式 见 提 权 插件 


攻击 目标 : 微 信 、 持 音 、 系 统 高 权限 App、 快 应 用 平台 
远程 静默 安 委 行为 和 诈 接 伪 造 行为 


定义 : 利用 应 用 市 场 接 口 、 广 商 广 告 接口 、 浏 览 器 、 微 信 WwebView 漏 洞 ， 实 现 用 户 点 击 链接 打开 网 页 即 被 静默 
安装 拼 多 多 。 结 合 社交 和 裂变， 效果 巨大 。 通 过 URL 跳 转 漏洞 、XSS 漏 洞 等 为 自身 链接 借助 白 域 名 加 白 ， 逃 避 微 


信 、 浏 览 器 封禁 


攻击 目标 : 浏览 器 ， 应 用 市 场 ， 微 信 


附录 一 : 拉 术 以 构 了 鸳 同 与 分 析 


背景 介绍 

Android 在 设计 之 初 即 采用 了 权限 和 数据 的 沙 箱 机 制 ， 地 理 位 置 、 通 讯 录 、 相 册 等 隐私 数据 的 访问 需要 用 户 授 
权 ， 由 系统 的 PermissionManagerSystem 统 一 管理 。 部 分 高 危 权 限 App 甚 至 无 法 获取 ， 只 有 特权 应 用 可 访问 ; 
各 App 之 间 有 不 同 的 uid， 数 据 之 间 相 互 隔离 ， 无 法 访问 。 


安 卓 手 机 中 一 般 App 是 untrusted_app 权 限 ， 厂 商 App 部 分 处 于 更 高 一 些 的 权限 system_app， 同 时 华为 、 小 米 
等 厂商 会 做 一 些 定制 ， 由 于 备份 、 安 全 管家 等 机 制 ， 其 系统 App 还 会 有 额外 的 权限 ， 例 如 保 活 管理 、 自 居 动 管 
理 、 App 数 据 管 理 等 。 


Android 中 App 由 四 大 组 件 构成 (Activity, Service, Content Provider Broadcast Receiver)， 相 关 组 件 可 以 通过 
是 否 导 出 (exported) ， 及 permission 控 制 。 但 systemapp 可 以 任意 打开 组 件 ， 或 通过 ContentProvider 读 写 所 有 
systemapp 私 有 文件 。 


但 任何 安全 机 制 的 设计 中 都 可 能 出 现 漏 洞 ; 从 传统 的 权限 代理 攻击 〈 通 过 已 经 有 权限 的 App， 一 般 目标 是 厂商 
App) ， 到 组 件 提 权 攻 击 〈 攻 击 App 中 的 组 件 ， 通 过 路 径 穿 越 、Intent 动 持 等 漏洞 ， 劫 持 目 标 App 的 能 力 甚至 履 
盖 文 件 、 执 行 代 码 ， 司 动 私有 组 件 ) ， 以 及 目前 安 卓 中 一 种 通用 的 Parcel Mismatch 漏 洞 《机 制 稍微 复杂 一 些 ， 
但 总 体 效果 是 可 以 控制 某 个 system-app 打 开 任意 activity， 进 而 达到 3 中 的 攻击 效果 ) ， 甚 至 内 核 提 权 漏洞 。 


PDD 既 是 挖 气 了 AOSP 和 广 商 设备 中 的 多 个 漏洞 ， 实 现 了 如 下 效果 : 


. 绕 过 系统 权限 管控 和 用 户 授权 ， 静 默 获取 权限 ， 逃 避 隐 私 监管 

. 漏洞 提 权 读 写 敏感 文件 ， 修 改 系统 管理 器 数据 ， 实 现 保 活 、 自 司 动 、 隐 藏 电量 占用 、 防 外 载 
. 漏洞 提 权 ， 获 取 system-app 执 行 能 力 ， 注 入 后 和 内， 监控 其 他 行业 App 使 用 情况 

. 漏洞 提 权 ， 获 取 用 户 设备 隐私 信息 〈 例 如 微 博 账号 、b 站 账号 名 ) 并 上 传 

漏洞 提 权 ， 将 后 内 注入 其 他 App 进 程 

漏洞 提 权 ， 提 权 到 内 核 权 限 


分 析 目 标 


本 次 分 析 的 App 版 本 为 6.44.0，MD5 哈 希 值 7539f39092Cc2b279c072e5922b0e4ad4 


和 Am 上 wmwN 一 


<manifest android:compiLeSdkVvVersion="33" 
android:compitlesdkversioncodename="13”android:versionCcode="64400"” 
android:verSsionName="6.44.0"” package="com.Xxunmeng,.pinduoduoy" 


架构 设计 


其 分 为 任 灰 层 攀 层 层 ， 尼 务 层 ， 通 过 事件 总 线 驱动 。 而 业务 层 又 纵向 分 为 AbiLity,Stragtegy，Service， 
如 下 所 示 : 


RemoteContfig 
com.xunmeng.pinduoduo:titan 


riggerManage 
了 六 sk cr PddRocket 


aive_base_alibDity_biz_plugin 


OO 人 alive_security_comp_plugin base_secdt_comp_plugin 
八 


alive_base_alibity_plugin 


tor 


Write Backdoor 


System App Other App 


User Privacy Data 


。 提 权 层 : 使 用 Parcel Mismatch 等 0day 或 者 1day 漏 洞 ， 获 取 StartAnyWhere 能 力 ， 攻 击 系统 中 高 权限 应 
用 ， 获 取 System-App 文 件 读 写 能 力 。 主 要 包含 alLive_base_apility plLugin， 位 于 私有 目录 文件 
botNalive_strategy_base_plLuginNx6.46.7\mwl1.bin 中 。 提 权 层 包装 相应 漏洞 ， 通 过 interface 


提供 给 业务 层 ， 进 一 步 执行 平台 相关 的 远 辑 。 
Source code 58627d 


com.Xxunmeng.pinduoduo 


5622a CC6666] 


mp emerrermnenErPzmerereerererreraweeermryreeroaaacyrereerzerrrereeeae 于 
import com.Xxunmeng.pinduoduo.alive.unify.ability.framework_buildin.interfaces.IAbilityy; 
import com.Xxunmeng.pinduoduo.android_pul1l_ability_comp.pullstartup.C6188a; 


回 Summary 


alive import com.xunmeng.pinduoduo ,android_pul1_ability_comp.pullstartup.sona,C6237aj 
base.ability import com.xunmeng.pinduoduo.android_pul1_ability_imp1_interface.interf.IALivePul1StartUp; 
comp import com.Xunmeng.pinduoduo .launcher_detect_comp .imp1.C8259a) 
局 Cogeeb import com.Xxunmeng.pinduoduo,.launcher_detect_comp_interf.interf.IVivoBindSserviceComp) 
@ import com.Xxunmeng.pinduoduo ,unify.ability.dybuild_buildin.C8327b ; 
人 6661c import java.util.Map; 
委 Main import java.util.Set; 
沁 TAG String 25 /+ Loaded 六 om: Main.cLass #/ 
丽 createActivityProxy(StE| 26 public class Main { 
部 createAliveAbility(Str 27 private static final String TAG = nul1; 
28 
中 CreateReceiverProxy(St 29 public static IStrategy createStrategyProxy(String str) { 
局 CreateServiceProxy(Stn| 36 Logger.i("LVBA.Plugin.Main"，"createSstrategypProxy: ”+ str); 
局 createStrategyProxy(St| 3 return (IStrategy) C8666b.m1161a(str); 
总 getAliveBaseAbility() 3 
局 getAlivePullStartUp() 34 public static IReceiver createReceiverproxy(String str) { 
部 getALiveUnifyAbilities | 35 Logger.i("LVBA.Plugin.Main"， "createReceiverproxy: ”+ str); 
已 getComponentNames() sa 2 return (IReceiver) C6666b.m1161a(str) 
3 
吗 getIPlLuginPAStrategyuUt | 38 
吉 getLauncherDetectVivoB 39 public static IVivoBindServiceComp getLauncherDetectVivoBindSservice() { 
避 getsonaAbility() ISonal 469 Logger.i("LVBA.Plugin.Main"，"getLauncherDetectVivoBindService"); 
_ 41 return C6259a.m224a(); 
硬 hasComponent(String) B | 42 
imp1 43 
strategy 44 public static IActivity createActivityproxy(String str) { 
是 二 45 Logger.Ii("LVBA.PlLugin.Main"，"createActivityProxy: ”+ str); 
Unify.ability-buildin 46 return (IActivity) C8866b.m1161a(str); 


android _pul1_ability_comp .pul1: 47 
android _pul1_ability_imp1_comp | 48 


launcher_detect_comp 49 public static ISonaAbility getSonaAbility() { 
en En ]| 56 Logger.i("LVBA.PLugin.Main"，"getSonaAbility"); 
Sensitive_api_plugin_adapter.al| 51 return new C6237a( ); 
unify.ability.dybuild_ buildin 52 
回 Summary 3 _ _ 
54 public static IService createServiceProxy(String str) { 
55 Logger.i("LVBA.Plugin.Main"，"createServiceProxy: "+ str); 
56 return (IService) C8666b .m1161a(str); 
57 
58 
59 public static Set getComponentNames() { 
66 Logger.i("LVBA.Plugin.Main"，"getComponentNames"); 
61 return C6606b .m1162a( ) ; 
62 } 
63 
64 public static IALivePul1lStartUp getAlLivePul1lStartUp() { 
65 Logger.i("LVBA.Plugin.Main"，"getAlivePullStartUp"); 
66 return new C86188a(); 
67 】} 
68 
69 public static IAlLiveBaseAbility getAliveBaseAbility() { 
76 Logger.i("LVBA.Plugin.Main"，"getAliveBaseAbilityInstance"); 
汪 return new C6663a() ; 
72 } 
Le 


业务 层 : 在 提 权 之 后 ， 有 具体 达到 目标 的 业务 逻辑 层 ， 包 含 77 个 Strategye。 例如 PurgeV2Strategy， 
即 通 过 提 权 层 所 提供 的 接口 ， 获 取 系 统 高 权限 应 用 的 文件 的 能 力 。DarchrowSstragey， 则 是 针对 小 米 
平台 的 置 白 逻辑 ， 提 权 后 读 写 小 米 手机 管家 App 的 数据 库 文件 ， 将 自己 置 为 永 不 休 眠 的 应 用 。 这 些 
Stragey 又 会 组 合成 Framework， 以 Api1Lity 的 形式 统一 对 外 提供 ， 例 如 提供 了 静默 安装 、 防 外 载 、 
数据 收集 的 能 力 ， 并 对 外 提供 。 提 权 层 、 业 务 层 逻辑 当前 版 本 都 被 VMP 保 护 。 


File View Navigation Tools Help *com -jadx-gui 二 下 


鼻 | 忆 | 日 世 | 工 上 卫 |Q < >| 国 只 二 | 晶 | Newversion 146a 
呈 让。 《& 况 CollectorConfig 和 CollectorUtil 了 ShenLawDetectStrategy 了 ShenLawManager 入 ShenLawLauncher 龟 HwsdNickNameCollector 龟 HwLowVerLocationCollector 
呈 一 一 
国 IAsyncDataCollector 9 JSONObject jsONObject = new JSONObject(); 
国 IDataCallback 46 jSONObject.puti ，optString); 
国 IDataCollector 有 和 5 
42 jsSoNArray .put jsowobject 了 
四 InfoResult 43 return jSONArray toString(); 
加 ReportInfoItem catch th 
collectors Teeer et ，th); 
6 return nul13; 

activityUsagestats 呈 

1lbs 4 

上 的 te bool isSi t 

5 private boolean issuppor 
加 ALl1PkgUsageConfig 世 和 
E 1 lean z = falsej 
轧 A11PkgUsagesdCollector |52 try 
忌 DevInfoCollector 5 z = SdThousandAbility.instance() .isAbilitySupport(StrategyFramework.getFrameworkContext() ， 
忌 DummyAsyncCollector 
写 HonorClubIdCollector 
轧 HwLowVerLocationcollec Logger 二 
TAG 5 5 return zZ3 

5 string 59 

弦 KEY string 8 

亏 collect(BaseTriggerE |61 private void getAccountAsync(IDataCallback iDataCallback 

Rd 后 <- 上 蜀 |52 if (this.mHasRequest,compareAndSet(false，true 

ecrypt(Sstring) requestAccount(iDataCallback); 
二 formatData(double，( |64 0 
本 hex2Bytes(char[]) b Logger. 


蕊 HwSsdNickNameCcollector 
加 LowVerWifiInfoCollectc 


总 MnfcLoginCollector 6 public void collecthsync(BaseTriggerEvent baseTriggerEvent，IDataCallback iDataCallback 
轧 OppoAssistantscreenCo] ||78 于 (StrategyFraneworkhasCapability 8&& isSupport 

e oppocCommunityIdsdColle 天 了 iDataCallback); 

忌 OppoLowVerLocationCol] Logger ， 

轧 OppoMarketsearchCollec 7 

局 opposdLocCollector 总 

加 OpposdNameCollector 77 private void requestAccount(final IDataCallback iDataCallback 

局 oppostorageInfoCollect 78 try 


]SONObject jsONObject = new JSONObject(); 
st JSONArray jSONArray = new JSONArray(); 
jsoNArray .put 了 


加 PackageInfo 
轧 PhoneserviceBlogHistor 


同 PkgInfo jSONObject.puti 加 人 
@ pkgUsagesdCollector jSoNobject.put( ，jSONArray); _ ， 
号 下 SdThousandAbility.instance() .tryInvokeAbility(StrategyFramework .getFrameworkContext()，new sdThousandAbilityRequest ，]jSoNObject.tostring())，new CreamUtils， 垦 
回 UsageStatsSdConfig public void onAbilityInvokeCallback(SdThousandAbilityResponse sdThousandAbilityResponse 
局 vivoAccountIdCollector Logger .ii + sdThousandAbilityResponse.isSucceed() + + sdThousandAbilityResponse.getMessage()); 

Logger.d + sdThousandAbilityResponse); 


加 vivoFeedbackCollector 
加 vivoJoviLbscollector 
忌 vivoMnfcLoginCollector st 


iDataCallback.onDataCollected(HwSdNickNameCollector vthis.getRet(sdThousandAbilityResponse))3 
HwsdNickNameCollector this-mHasRequest.set(false)3 


局 VivosdLocCollector 外 呈 
2 cate 
加 VivospsUsageCollector 5 入 器 半 四 局 
@ WeiboFdIdCollector 94 iDataCallback.onDataCollected(nul1); 
回 WeiboIdConfig 5 
忌 WeibosdNameCollector 机 
疝 WifiTnfosdrco11ector 
5 55 errors 405 wamings Code Smali Simple Fallback Split view 


配置 层 : 通过 RemoteConfig 类 ， 提 供 精 细 化 的 策略 管控 和 远 控 能 力 ， 任 何 一 个 策略 是 否 开局 运行 基本 都 
会 查询 RemoteConfig， 一 些 漏洞 利用 代码 中 的 配置 信息 也 可 从 远 端 更 新 。 这 些 配置 文件 拉 取 后 存放 在 
app_mango/ 目 录 下 ， 总 配置 文件 达到 3000 多 K， 主 要 落 盘 文件 为 raw_ab_datajson， 
raw_config_data.json, raw_exp_ab _datajson。 


司 06 > DarchrowStrategy Aa ab, ?of15 玫 
"pinduoduo_Android.ka_strategy_biz_jessie_daemon_kv_60106\",\n 个 Nexp_defautLt_faLe_、， 必 VCnuvcccvcaceeayycteap Panuuvua 


a_st_biz_jessie_event_trigger_56400\",\n NenabLeFiLeLoggerExp\": \"pinduoduo_Android.ka_strategy_biz_jessie_1Log_56706\",N\n NenabLeForceStopDetectByRecentAppEXxpN": 
"pinduoduo_Android.ka_st_biz_jessie_force_stop_detect_56406\",\n NenabLeForceStopDetectByServiceCLeanExp\": \"pinduoduo_Android.ka_st_biz_jessie_force_stop_detect_56400\"Nn 
"enabLeForceStopDetectBySettingTopActivityExp' N'"pinduoduo_Android.ka_st_biz_jessie_force_stop_detect_564600\"Nn N\"enabLeFrozenListenExp\": \"exp_defautt_falLseN",\n 
"enabtLeInstrumentExp\": \"exp_defautt_true\",\n NenablLeInstrumentWhenMainProcALiveExp\": \"pinduoduo_Android.ka_st_biz_jessie_enablte_instrument_when_proc_atLive_56400\",\n 
"enabtLeLogExp\": \"pinduoduo_Android.ka_strategy_biz_jessie_Log_ 56700\",N\n NenabtLeNativeEventTrackExp\": Nexp_defautt_faLseN"Nn NenabLePeriodUnfreezeExpN": 
"exp_default_fatseN",N\n NenabtLePuLLALiveALarmExp\": \"pinduoduo_Android.ka_st_biz_jessie_puLL_ alive_by_alarm_ 56400\",N\n NenabLeServiceProcFiLeLockExp\": N\"exp_defaultt_fatse\"， 
n NenabtLeTopActivityDetectDebugModeExp\": \"exp_default_fatLseN\",\n NeenabLeTrackStartPuLLALiveExp\": \"exp_default_fatseN\",N\n NenabLeUnfreezeDaemonExp\": \"pinduoduo_Android 
a_st_biz_jessie_native_unfreeze_56400\",\n N"forceStopDetectInRecentTaskExp N"pinduoduo_Android,.ka_st_biz_jessie_force_stop_detect_56490\",N\n NTforceStopDetectInSettingsEXxp\" 
"pinduoduo_Android.ka_st_biz_jessie_force_stop_detect_56400\",\n N“getMainProcStatusByFiLeExp\": \"exp_defautLt_fatse\",\n N“getMainProcStatusBySheLLExp\"; \"exp_defautt_fatse\"， 
mn N'LauncherExitTargetActivityName\": \"com.android.settings/V.appLications,.InstaLtedAppDetaiLsTop;icom.huawei.systemmanager/.power.ui.DetaiLOfSoftConsumptionActivityN",N\n 
"LauncherHomeActivityName\": \"com.huawei.android.tLauncher.unihome.UniHomeLauncher\",\n NmainProcStatusByForegroundStateExp\": \"exp_defautt_fatseN",\n 
"mainProcStatusByScreenStateExp\": \"exp_defautLt_fatLseN",N\n N“periodUnfreezeCreateSkyExp\": \"exp_defautt_fatseN",N\n N"puLLALiveCountLimitByNativeExp\": Nexp_defaultt_trueN",N\n 
"puLLALiveThrough]JssExp Nexp_defautLt_fatse\",\n N\"screenStateDispatchExp\": \"exp_defautLt_fatse\",\n N"serviceCLeanActivityName\": \"com.android.settings/.CLeanSubSettings,co| 
ndroid.settings/.SubSettingsN\"Nn NSsettingsTopActivityNamesN\ N"comsandroid.settings.HwWSettingsN\",N\n N"startNssSheLLFgExp\": \"pinduoduo_Android , 
a_st_biz_jessie_nss_sheLL_fg_56406\",N\n N"toggLeComponentSettingStateExp\": \"pinduoduo_Android.ka_st_biz_jessie_toggLe_component_56400\",N\n trackInstrumentStartEVentEXpPN" 
"exp_defaulLt_faLse\",\n N"skipAutoStartCheck\": falLse,\n N"puLLALiveDaemonProcessTotaLCountLimit\": 100,\n \"getDaemonKVRecordsDetbyInsec\ 省 及 
"mainProcScreenOffTimeLimitInSecN 300,\n N\"daemonKVCacheFLushSizeLimit\": 50,\n N"crossBindCount\": 20,\n N“"heartBeatIntervaLInSec\": 3,\n 
"puLLALiveTotaLStatDurationInSecN 86400,\n NmainProcBackgroundTimeLimitInSsecN 300,\n N"wakeLockTimeoutMSN\ 5600,\n N“recentAppIntervaLInSecN\ 3,Nn 
"daemonKVCacheDupRecordsCLeanTimeInSec\": 100,\n N"skipHandLeSingLeForceStop\": true,\n N\"puULLALiveFreqCountLimit\": 1,Nn N"puLLALiveFreqStatDurationInSecN": 60,\n 
"codeStartDeLayInSecond\": 5 N\n NSskipDauCheck\": faLse \n N"periodUnfreezeIntervaLInSec\": 0,\n N\"periodUnfreezeKkeepInSec\": 0,\n NupdateDaemonKVRecordsDeLayInSec\": 3， 
n N"puLLALiveALarmDetLayInSec\": 1800,\n N"settingGapTimeInSec\": 60,\n N"puLLALiveTotaLCountLimit\": 50,\n NenabLePapmExp\": \"pinduoduo_Android . 
a_st_biz_jessie_papm_57800\"N\n NenabLePuLLALiveIntervatLLimit\": \"pinduoduo_Android.ka_st_biz_jessie_puLL_alive_intervaL_Limit_57900\",N\n N"puLLALiveIntervaLInMsN\": 100,\n 
"getDaemonKVRecordsDeLayInMsN @Nn Nuse01LdLauncherDetect\": \"pinduoduo_Android.ka_strategy_biz_jessie_use_o1Ld_Launcher_detect_ 56400\",N\n NuseNewLdLibraryPathExp\": 
"pinduoduo_Android.ka_strategy_biz_jessie_use_new_path_64500\",N\n N"crashIfLoadErrorExp\": \"pinduoduo_Android.ka_strategy_biz_jessie_crash_if_error_64500\"\nl'}, ”pinduoduo_Android . 
a_strategy_comp_tide_v2_60500" {f\n 9gN\ oppo8.x+Nw ANn N"LowversionPeriodInSecN": 960,\n NactivePeriodInSec 990,\n workingPeriodInSecN 9698,\n 
"frequentPeriodInSecN": 3600,\n NerarePeriodInSecN\": 28800,\n N"unknownPeriodInSecN\": 960,\n periodV1lN\": 14408,\n NbtLacktListScene\": \"1012N\"Nn NerefreshTTLMiLLSN": 
6400009, \n NinvaLidTTLMiLLsN\" : 172890000\n}y 13"{fNn NetagN": N“xiaomiN"Nn N"LowversionPeriodInSec\"; 969,\n NactivePeriodInSecN":， 9609,\n NeworkingPeriodInSecN\":; 9690| 
n N“frequentPeriodInSecN": 3600,\n N\“rarePeriodInSecN": 28800,\n NunknownPeriodInSec\": 900,\n N"periodVv1lN\": 1800,\n NbtLacktListScene\": \"1012\"Nn 
"refreshTTLMiLLS\": 86409000, \n NinvaLidTTLMiLLsS\": 172800000\n} AU Ntag\":， \ "xiaomiN\",\rNn \"LowversionPeriodInSecN\": 960,\rNn NactivePeriodInSec\": 990,\rNn 
"workingPeriodInSec\": 990,\r\n N“frequentPeriodInSec' 3600,\rNn N\"rarePeriodInSec\": 28800,\rNn NunknownPeriodInSsec 990,\rvn N"periodV1N 3660,\rNn 
"btLacktListScene\": \"1912\"N\rNn N“refreshTTLMi1L1Ls 86400000,\rNn NinvatLidTTLMiLLSN\":， 172800000\rN\nj ”32fNrNn NtagN": Noppo8.x+N"Nrvn N"LowversionPeriodInSecN\" :990| 
rNn NactivePeriodInSec\": 990,\r\n NeworkingPeriodInSec\": 900,\rNn N'"frequentPeriodIn5ecN\": 3600,\r\n NrarePeriodIn5ecN\": 28800,\rNn NunknownPeriodInSecN\": 909， 
N"periodV1\": 28890,\rNn NbLackListScene\": \"1012\"NrNn N\"refreshTTLMiLLS\":， 86400000,\rNn NinvaLidTTLMiLLS\": 172800000\r\ny 4:{fNrNn Ntag\":， N"vivo8.x+N 
N"LowversionPeriodInSec\": 909,\rNn NactivePeriodInSec\": 900,\rNn N"workingPeriodInSec\": 900,\rNn N"frequentPeriodInSec\": 3600,\r\n N\"rarePeriodInSec\": 28800， 
NunknownPeriodInSecN 900,\rvn N"periodV1l 28800,\rNn NbtLackListSceneN N"1012\" AN\rNn NrefreshTTLMiL1LS 864000600,\rNn NinvatLidTTLMiLLsSN\": 172800000\rNn 
"frAn NtagN\": NdefauLt\"\rNn "LowversionPeriodInSec\": 900,\rNn NactivePeriodInSec\": 900,\rNn NworkingPeriodInSec\": 900,\rNn N\"frequentPeriodInSec\":; 3600， 
Ne“rarePeriodInSecN 28860,\rNn “unknownPeriodInSecN\": 900,\rNn periodV1N\ 1800,\rNn NbLacktListSceneN\ TAU N"refreshTTLMiLLSN\": 86400000,\rN\n 
"invaLidTTLMiLLSN\": 172800000\rNn} ”6"3fNn NtagN\": Novivo8.x+NyNn N"LowversionPeriodInSec\": 900,\n NactivePeriodInSecN": 900,\n NeworkingPeriodInSec\": 900,\n 
"frequentPeriodInSec\": 3600,\n N\"rarePeriodInSec\": 28800,\n NunknownPeriodInSec\": 960,\n N\"periodVl\": 14400,\n NbtLackListScene\": \"1012N\"Nn NerefreshTTLMiLLSN": 
6400009,\n NinvaLidTTLMiLLS 172800006\nj "7 An NetagN\ NdefautLt\" \n N\"LowversionPeriodInSec\": 9090,\n "activePeriodInSec\": 900,\n NeworkingPeriodInSec 990| 
n N"frequentPeriodInSecN\": 3600,\n N\“"rarePeriodInSec\": 28800,\n NunknownPeriodInSecN": 900,\n N"periodV1\": 900,\n NbtLacktListScene\": \"1012\"Nn 
refreshTTLMiLtLsN 86460009, \n NinvatLidTTLMiLLSN 172800000\n}"}, "pinduoduo_Android.ka_provider_intent_xm_theme_manager_62500":{"9 {\n NSsceneN": N"XM_THEME_MANAGERN" ,N\n 
"targetIntent\": \"content://com.android.thememanager.fiteprovider/Vshare_images#Intent;LaunchFLags=0xc3;component=com.xunmeng.pinduoduo/com.xunmeng.pinduoduo.ative.impt.provider. 
omponent .HFPActivityyend\",N\n NtargetUriN": \"content:/Vcom.android.thememanager.fiteproviderV/share_imagesN",\n NeneedAddSpeciatFLags\": fatse,N\n NTLagSNW LOAD 
ptLugin_strategy_tLe_btLanc_strategy_61900， {\rN\n NbtLackListSceneN\": \"3078\"N\rN\n}j"]j，, "pinduoduo_Android.ka_provider_provider_hw_inteLLigent_59000": fn NSscenenN 
"provider_hw_inteLLigent\",N\n NtargetIntent\": \"content:/VV/com.huawei.inteLLigent.fastapp.engine.fiteprovider/Vroot_path#Intent;component=com.xunmeng.pinduoduo/com.xunmeng.pinduoduo| 
Live.impt.provider.component,.HFPActivity;end\",N\n NtargetUri\": \"content;:V//com.huawei. inteLLigent.fastapp.engine,.fiteProvider/yroot_path\",N\n N"needAddSpeciaLFLags\": fatLse,\n 
"needTransit\": true,Nn NtransitIntentUriN": N\"#Intent;LaunchFLags=9x40008900; component=com.huawei. inteLLigent/com.huawei.hms.activity.BridgeActivity;S.intent.extra. 
ELEGATE_CLASS_0BJECT=com.huawei.hms,.adapter.ui.BaseResotLutionAdapteriend\",\n NetransitIntentKey\": \"resotLutionN",\n N"flLags\": 6\n}" jpinduoduo_Android, 
a_provider_intent_xm_assistant_cache_63409":{" "sfNrNn Nescene\": N\"provider_xm_assistant_cacheN",\rNn NtargetIntent\": \"content:V/com.miui.voiceassist.fiteprovider/ 
ache_path#Intent; component=com.Xxunmeng.pinduoduo/com.xunmeng.pinduoduo.ative.impL.provider.component.HFPActivityiend\",\rNn NItargetUri\": \"content:/V/com.miui.voiceassist。 
ilLeprovider/cache_pathN' eedAddSpeciaLFLags\": fatse,\rNn NoneedTransit\ true,\rNn N"transitIntentUri\": \"#Intent;)LaunchFLags=0x40008000; component=commiui。 
ojiceassist/com.tencent.connect.Ccommon.AssistActivityiend\"NrNn NtransitIntentKey\ "openSDK_L0G.AssistActivity.ExtraIntent\",\rNn NisUseIntentChooser\": true,\rNn 
"flLag5S 6N\rNnj"}, "pinduoduo_Android.ka_strategy_biz_purge_57500_oppo_tLd'" rovider_oppo_tLd\"Nn NrequireScreenOnN fatLse,N\n N"acceptedTriggerEventS\ "| 
Nn \"PROCESS_START\",\n \"SCREEN_0FF\",\n \"ON_BACKGROUNDN"\n ]\n}"}, "pinduoduo_Android.ka_strategy_framework_definition_56000":{"0":{fNn NSstrategyList\": 


。 事件 总 线 : TriggerManager 类 ， 该 类 会 监听 TriggerEventType 中 34 种 事件 ， 而 每 一 个 Strategy 都 会 通过 
动态 配置 文件 确定 在 什么 样 的 条 件 下 会 被 触发 执行 。 例 如 屏幕 解锁 的 SCREEN_ON, SCREEN_OFF 事 件 ， 
提 权 完成 的 FP_PERM_READY 事 件 等 。 


"FEUEERNMUREADM": [ 
{ 


"name ": "PurgeV2” 


“DarchrowsSstrategy” 


"GragasStrategy” 


“GalaxyStrategyV2” 


"Ratt]leSstrategy"” 


样 例 配 置 代码 : 


TriggerEventType,PROCESS_START = new TriggerEventType(0， 
"PROCESS_START" ) ; 

TriggerEventType,IRREGULAR_PROCESS_START = new TriggerEventType(1I， 
"IRREGULAR_PROCESS_START"” ) ; 

TriggerEventType,ALIVE_ABILITY_DISABLE = new TriggerEVventType(2， 
"ALIVE_ABILITY_DISABLE") ， 

TriggerEventType,SCREEN_ON = new TriggerEventType(10， "SCREEN_ON'"” ) ; 

TriggerEventType,SCREEN_OFF = new TriggerEventType(11， 
"SCREEN_OFF" ) ， 

TriggerEventType,.USER_PRESENT = new TriggerEventType(12， 
"USER_PRESENT"” ) ， 

TriggerEventType.ON_BACKGROUND = new TriggerEventType(20， 
"ON_BACKGROUND"”) ; 

TriggerEventType,.ON_FOREGROUND = new TriggerEventType(21， 
"ON_FOREGROUND"”) ， 

TriggerEventType,.BACKGROUND_1MIN_TIMER = new TriggerEventType(30， 
"BACKGROUND_1MIN_TIMER" ) ， 

TriggerEventType,.PDD_ID_CONFIRM = new TriggerEVventType(40， 
"PDD_ID_CONFIRM” ) ， 

TriggerEventType,.POWER_DISCONNECTED = new TriggerEventType(50， 


"POWER_DISCONNECTED" ) ; 
TriggerEventType.POWER_CONNECT 
"POWER_CONNECTED" ) ; 
TriggerEventType.TOUCH_EVENT = 
OUCGHEVENi 
TriggerEVventType,.FSPL_EVENT 
前 S 忆 EVEN 
TriggerEventType.DPPL_EVENT 
国民 民 四 二 EVENID 
TriggerEventType.ACVT_EVENT 
EACVIEEVENT ii 
TriggerEventType.DIEL_EVENT 
汪 国 亚 局 四 间 请 VENI 下 
TriggerEventType.ITDM_EVENT 
四 Mi 国 局 VENiT Di 


TriggerEventType.START_SKY_CASTLE 


SS 下 ARIESKA 人 CASTWIES 
TriggerEventType.STOP_SKY_CAST 
ES 和 OPESKYECASTIIE 
TriggerEventType.DECORATE_DONE 
"DECORATE_DONE"”) ， 
TriggerEventType.FP_PERM_READY 
"FP_PERM_READY"”) ， 
TriggerEventType.AU_INIT = new 
TriggerEventType.DAU_EVENT n 
"DAU_CHANGED " ) ; 
TriggerEventType.STARTUP_COMPL 
"STARTUP_COMPLETE'") ， 
TriggerEventType.STARTUP_IDLE 
SS 下 入 民 山 已 天 王 四 四 司 天 
TriggerEventType.USER_IDLE 
USSSDi 人 ED 


站 


TriggerEventType.FAKE_INSTALL_COMPLETE 


"FAKE_INSTALL_COMPLETE" ) ， 


TriggerEventType.SCREEN_RECORD 


"SCREEN_RECORD_START'" ) ; 


TriggerEventType.SCREEN_RECORD 


"SCREEN_RECORD_STOP" ) ; 
TriggerEventType.SD_ASTER_SYNC 


ED new TriggerEVventType(51， 


new TriggerEventType(60， 
new TriggerEventType(70， 
new TriggerEVventType(71， 
new TriggerEventType(80， 
new TriggerEventType(90， 


new TriggerEventType(100， 


new TriggerEventType(110， 


LE new TriggerEventType(0Ox6F， 


new TriggerEventType(120， 
new TriggerEventType(130， 


TriggerEventType(140，?"AU_INIT"” ) ; 
ew TriggerEventTyYpe(9x8D， 


ETE new TriggerEventTyYype(90x8E， 


new TriggerEventTyYpe(9x8F， 


ew TriggerEventType(O0x90， 


START = new TriggerEVventTyYpe(90xA0， 


STOP new TriggerEventType(OxA1， 


DOWN new TriggerEventType(170， 


"SD_ASTER_SYNC_DOWN'" ) ; 
TriggerEventType.SD_COMP_READY 
"SD_COMP_READY" ) ， 
TriggerEventType.PV_CHANGED_EV 
"PV_CHANGED" ) ， 
TriggerEventType.DBG_EVENT 
"DBG_EVENT" ) ; 


有 


new TriggerEventType(9XxAB， 
ENT = new TriggerEventType(180， 


ew TriggerEventTyYype(190， 


模块 通过 组 件 化 下 发 ， 在 App 司 动 的 时 候 通 过 内 置 或 远程 拉 取 的 方式 释放 或 更 新 ， 如 下 图 所 示 : 区 ;bots 


相关 模块 通过 两 套 VMP 进 行 保护 (manwe、nvwa) 。 相关 脱 壳 代 码 可 见 


https://github.com/davinci1012/pinduoduo_backdoor 


unpacker 各 个 模块 的 作用 经 分 析 如 下 : 


new TriggerEventType(150， 


各 模块 分 析 


alive_base_ability_plugin 


位 于 bob/alive_base_ability_plugin/mw1.bin 中 ， 主 本 数 入 口 为 
com.Xxunmeng.pinduoduo.aLive.base,.abiLity.comp.Main， 导 出 如 下 接口 : 


。 IStrategy : 根据 名 字 获 取 Strategy 
。 |IReceiver IlService, IActivity: 组 件 化 虚拟 接口 
。 |VivoBindSserviceCompgetLauncherDetectVivoBindService: Vivo 的 某 个 组 件 泄露 漏洞 利用 
。|ISonaAbility: 构造 提 权 Intent 后 ， 通 过 SonaAbility 进 行 攻 击 ， 执 行 提 权 Intent。 下 面 将 重点 介绍 
SonaAbility 是 如 何 提 权 的 
。 |IAlivePullStartUp: 以 接口 方式 对 外 暴露 ， 其 他 组 件 调用 该 接口 发 起 Intent 攻 击 
o makeBundte(Intent arg1); 
o StartAccount(Intent arg1); 
o StartSpecialActivity(Intent arg1); 
o StopSpecialActivity(Inktent arg1); 
。 |IAlivePullStartUp: 核心 组 件 ， 提 供 基 于 平台 的 保 活 能 力 、 基 于 提 权 漏洞 的 特权 文件 访问 能 
o IAliveStartup AliveStartup(); 


sa。 boolean canStartBackgroundActivity(); 

s。 boolean canStartBgActivityByAlarm(int arg1, boolean arg2); 

s。 boolean canStartBgActivityByFullSscreenNotification(); 

s。 boolean canStartBgActivityByFullSscreenNotification(int arg1, boolean arg2); 
sa。 void grantAuUtoStartPermission(); 


= int hasAutoStartPermission(); 通过 修改 系统 自 局 动 设置 ， 达 到 保 活 ， 绕 过 系统 App 休 眠 控 
制 的 目的 


s。 Void startBackgroundActivity(Intent arg1); 

s。 Void startBackgroundActivityByAlarm(lntent arg1); 

s。 boolean StartBackgroundActivityByAssistank(Intent arg1); 
s。 Void startBackgroundActivityByTheme(lntent arg1); 


a。 void startBackgroundByFullScreenNotification(Intent arg1); 通过 Activity Intent 中 间 人 漏 
洞 ， 绕 过 系统 对 保 活 、 拉 起 的 控制 


o IDebugCheck DebugCheck(); 检测 是 否 正在 被 调试 ， 逃 避 检 测 
o IDoublelnstance Doublelnstance(); 检测 是 否 双 开 
o IFileProvider FileProvider(); 

= boolean hasAbility(String arg1); 

= boolean hasPermission(); 

sa。 VvVoid startGrantPermission(String arg1); 

s List getLauncherlcons(); 


= boolean addlcon(lconlnfo arg1); 
s。 boolean movelconToFolder(int arg1, int arg2); 
= boolean movelconOukFolder(lconlnfo arg1); 
= boolean Updatelcon(lconlnfo arg1); 
= boolean removelcon(int arg1); 
sa Integer addScreen(); 
s。 LayoOuktProps getLayouktProps(); 
s。 boolean restartLauncher(); 
o |FileProviderV2 FileProviderV2(); 检 心 绍 余 / 通过 各 种 提 权 漏洞 ， 获 取 对 系统 应 用 、 其 他 应 用 的 
文件 访问 能 
s。 |FPUtils fileProviderUtils(); 
s。 Uri getValidUriByScene(String arg1); 
=。 boolean hasPermission(String arg1); 
s。 boolean hasPermission(String arg1, String arg2); 
ms。 |HssLocalDataManager hssLocalDataManager(); 
= |IHwHiBoardProvider hwHiBoardProvider(); 
ms |IHwSelfStartProvider hwsSelfStartProvider(); 
sa |KaelDbOperate kaelDbOperate(); 
sa。 IOppoAuProvider oppoAuProvider(); 
s。 IOppoLauncherProvider oppoLauncherProvider(); 
s。 IOppoLockDisplayProvider oppoLockDisplayProvider(); 
sa。 IOppoLockPullProvider oppoLockPullProvider(); 
sa。 |PermQuery permQuery(); 
s。 void persistPermission(lntent arg1); 
= boolean StartGrantPermission(String arg1, String arg2); 
sa。 boolean startGrantPermission(String arg1, String arg2, Intent arg3, String arg4); 
= |XmBehaviorWhiteProvider xmBehaviorWhiteProvider();} 
。 |IFloatWindow FloatWindow(); 通过 漏洞 获取 悬浮 窗 能 力 保 活 
o IlScreenRecordCheck ScreenRecordCheck() 检测 是 否 正 在 录 屏 ， 逃 避 用 户 取证 


其 中 ，SonaAbility 是 整套 系统 的 核心 ， 其 中 包装 了 多 个 各 平台 的 0day、1dayBundle Mismatch 漏 洞 进行 提 权 。 
该 系列 漏洞 的 知识 可 以 参考 https://xz.aliyun.com/t/2364, 简单 描述 为 : 


共同 特点 在 于 框架 中 ParceLabLe 对 象 的 写 入 〈 序 列 化 ) 和 读 出 〈 反 序列 化 ) 不 一 致 ， 比 如 将 一 个 成 
二 写 入 时 为 Long， 而 读 入 时 为 int。 但 我 们 能 够 利用 有 漏洞 的 ParceLabLe 对 象 ， 实 现 以 
Settings 系 统 应 用 发 送 任意 Intent 启 动 Activity 的 能 


第 一 次 ， 普 通 AppB 将 BundtLe 序 列 化 后 通过 Binder 传 递 给 system_server， 然 后 system_server 
通过 Bund1Le 的 一 系列 getXXX (如 getBootLean、getpParceLabltLe) 函 数 触发 反 序 列 化 ， 获 得 
KEY_INTENT 这 个 键 的 值 一 一 个 intent 对 象 ， 进 行 安全 检查 。 

若 检查 通过 ， 调 用 writeBunditLe 进 行 第 二 次 序列 化 ， 然 后 Settings 中 反 序 列 化 后 重新 获得 
{KEY_INTENT:intent}， 调 用 startActivity。 


如 果 第 二 次 序列 化 和 反 序 列 化 过 程 不 匹配 ， 那 么 就 有 可 能 在 system_server 检 查 时 BundLe 中 恶意 的 
{KEY_INTENT:intent} 不 出 现 ， 而 在 Settings 中 出 现 ， 那 么 就 完美 地 绕 过 了 checkKeyIntent 检 


查 ! 


这 类 漏洞 是 最 近 Android 系 统 中 新 出 现 的 漏洞 类 型 。 此 类 漏洞 因为 利用 稳定 门槛 低 ， 易 于 工程 化 ， 受 到 了 PDD 
的 青睐 。 


SonaAbility 接 收 其 他 组 件 包装 的 Intent， 在 start(SonaRequesb) 中 取出 ， 并 通过 平台 调用 对 应 的 0day 漏 洞 : 


pubLic SonaResulLt start(SonaRequest SonaRequest ) { 

C09200h m405a ; 

Logger .II("SpeciaLPuLLApiLity.Comp ,SonaAb1liLity"”，"start Invoked: ”+ 
SonaRedquest ) ; 

If (SonaRequest == nuLL || 
TextUtiLs.IsEmpty(SsonaRedquest.getCaLtLer()) || 
TextUtitLs,.IsEmpty(SsonaRedquest .getRedquestId( )) | sonaRequest .getIntent( ) == 
UL 

return new SonaResuLt(faLse，"invalLid redquest7”") ， 
】 
if (!m265a(SonaRequest .getCaLler()，TfalLse)) { 
m405a = new C0200h(falLse， "calLlLer_not_whiteList") ，; 

} elLse Lf 
(RemoteCconfig.instance().getBoolLean("pinduoduo_Android.aLive_sona_startup_a 
b_ 64500"，TfalLse) && this.f936e.m246b()) { 

Logger, 工 ("SpeciaLPuLLAbpiLity.Comp.SonaAb1iLity"， 
"StartSpeciaLActivity by SonaStartUp: %s"，new 0Object[] 
{fSonaRequest toString()}); 

C0245a.,m240a("Sstart"，SonaRedquest ) ; 

m405a = this.f936e.m248a(SonaRequest，this.f937f) ; 

C0245a.m239a("resulLt"，SonaRequest，m405a，nuLL ) ; 

} else { 

Logger., 工 "SpecialLPuLLAbpiLity.Comp.SonaAb1iLity"， 
"StartSpeciaLActivity by aLivePuLLStartUp: %s"，mnew Object[] 
{fSonaRequest toString()}); 

m405a = this.f935d.m405a(SonaRequest .getIntent() ) ; 

】 

C0245a.m237a("Sstart"，SonaRedquest .getCaLtLer()，nuLL，sSsonaRedquest， 
m405a.m358a( )，m405a.m357b( ) ) ; 

return new SonaResuLt(m405a.,m358a( )，m405a.m357b() ) 


】 


pubLic boolean 1ISBusy(String Str) 
Logger,.I(”"SpeciaLPuLLAbiLity,.Comp,SonaAbliLity"，"isBusy invoked : 
SN 及 
boolLean isCacheIntentBusy = 
ALivePuLLAbiLity,instance().IsCacheIntentBusy(Str); 
C0245a.m237a("iSsBusy"”，Sstr，nuLL，nuLL，iscacheIntentBusy，nuLL ) ; 
return IsCacheIntentBusy ; 


】 


pubLic BundtLe makeBundLe(Intent intent) { 
if (intent == nuLL) { 
Logger,w("SpeciaLPuLLAbiLity,Comp"，"make empty bundtLe") ， 
return new BundtLe() ， 


】 
Logger .1I("SpecialLPuLLAblilLity.Comp"，"”make bundLe") ， 


InterfaceCco194e m404a = m404a(intent，nuLL) ， 

If (m404a == nuLL) { 
Logger, 工 ("SpeciaLPuLLAbiLity.Comp"”，"”no make bundtLe function'" ) ， 
return BundLe.EMPTY ， 

】 

BundlLe m375a = m404a.m375a(intent ) ; 

C9253b .m227a() ; 

return nm375a ==nulLl > BunoduewEMPTY nm375a 


/x renamed from: C */ 
private boolLean IsHuaweliVversion( ) { 
If (RomosUtiL.instance( ).ISNewHuawe1iIManufacture() || 
RomOsUtiL. instance().IsHonerManufacture()) { 
这 全 世 轴 全 内 大 臣 IUe 
】 
return RomosUtiL.instance().1ISEmuI() && 
!IALiIveAbiliLity,.instance().1ISsAbiLityDisabtLed2022Q3("hw_smaLlL_ brand_Law") 


】} 


pubLic C0188a() 革 
Logger.i("SpecialPuLLAbilLity.Comp"，"plugin version: %s"”，new 
Object[]{co253b.m226b()}); 
this.SspeciaLPuLLAbiLityCcomp LmpL = getPLatformPLugin( ); 


/* renamed from: d */ 
private booLean m394d(Intent intent，String Str) 并 
Logger. 工 ("SpeciaLPuLLApiLity.Comp"，"realL Start accountSettings 
acCETVTEVYR Di 
CduUtaais 二 mn2S4a( 合 用 王 忆 
return CduUtliils mn233a(intent，str) ， 
】 


ESVY 人 人 
BotBaseAppLication.getContext() .StartActivity(intent ) ; 


reEurnmatue， 

} catch (Exception e) 1{ 
C0245a.,m242a("Sstart_account_exception'”") ; 
Logger.e("SpeciaLPuLLAbiLity.Comp"，e)， 
return falLse， 


private SpecialLPuLLAbiLityCcompInterface getPLatformPLugin() { 
return IsHuaweliversion() ? new AOSPSpeciaLPuLLAbiLitycomp() 
RomoOsuUtitL,instance().1IsOppo() ? new 0ppoSpeciaLPuLLAbpIiLityCcomp() 
RomoOsuUtiL,instance().1IsSamsung() ? new SamsungSpeciaLPuLLAbiLitycomp() 
RomoOsUtitL,instance(). IsSXiaomiManufacture() ? new 
XiaomiSpeciaLPuLLAbiLityCcomp() : RomosuUtitL.instance().IsSVivoManufacture() ? 
new VivoSpeicatlLPuLLAbiLitycomp() : new DummySpeciaLPuLLAbiLityCcomp( ) ; 


] 


//HuaweiSpeciaLPuLLAbiLitycomp 
publLic boolean m371f(Intent intent) 六 


Logger .II("SpeciaLPuLLAbiLity.Comp"，"realL start hw accountSettings 
GGEIINVNEYGS 

LI 
BotBaseAppLication.getContext( ) .StartActivity(Iintent ) ，; 
eurnatue， 

} catch (Exception e) 并 
C0245a.,m242a("Sstart_account_exception'") ; 
Logger.e("SpeclilaLPuLLAblILity.Ccomp"，e)， 
return fatLse， 


】 


Q@override // 
com. xunmeng.pinduoduo.android_puLL abiLity _comp ,puLLstartup.SpeciaLPuLLAbilL 
ItyComp 
/” renamed from: g ”*/ 
pubLic String mo326g() 1{ 
return "dd.hw"， 


j 


/* renamed from: d “7 

pubLic static BundtLe m373d(Intent Intent ) 芋 
BundlLe bundtlLe = new BundlLe( ) ; 
ParceL obtain = ParceL.obtailn( ) ; 
ParceL obtain2 = ParceL,.obtain() ， 
ParceL obtain3 = ParcelL,.obtain() ， 
obtalin2.writeInt(3)， 
obtalin2.writeInt(4)， 
obtalin2.writeInt(13) 
obtaln2.writeInt(3); 
obtalin2.writeInt(0)， 
obtalin2.writeInt(4)， 
obtain2,.writeString("com,huaweli,recsys.aidL.HwobjectContainer'") ; 
obtalin2.writeSeriaLizabLe(nuLL) ， 
obtain2.writeInt(4)， 


alive_security_biz_plugin: 


文件 路 径 :bob/alive_security_biz_plugin/mw1.bin 如 果 说 上 一 个 Plugin 是 对 提 权 能 力 的 包装 ， 那 这 个 Plugin 则 
是 驱动 器 ， 通 过 各 种 方式 利用 之 前 的 能 力 (也 包括 一 些 新 的 漏洞 ) 来 实现 保 活 、 窃 取 隐 私 等 目的 。 该 Plugin 包 
含 了 数 十 个 Strategy， 每 个 Strategy 都 对 应 着 一 套利 用 代码 ， 共 有 如 下 Strategy : 


。 Jayce9ktrategy 

。 WingStrategy 

。 CheeseStrategy4Okher 
。 ShenLawDetectStrategy 
。 TalonStrategy 

。 ClinkzStrategy 

。 Battery9Sktrategy 

。 DazzleStrategy 


FileProviderProbSstrategy 
RangersStrategy 
BalanarStrategy 
StripBareStrategy 
GalaxyStrategyUtils 
NamiStrategy: 收集 各 种 用 户 数据 
StrutsStrategyHelper 
Qeorge9Strategy 
CreamStrategy4Otkher 
YmirStrategy 
Zec9ktrategy 
GalioStrategy 
MinerStrategy 

YiStrategy 
Creamg9trategy 
DianaStrategy 
Karma9ktrategy 
AhriStrategy 
ApolloStrategy 
DancerStrategy 
ViStrategy 
PurgeV2Strategy: 局 动 提 权 EXP 
GhostStrategy 
GalaxyStrategyConfig 
DirgeStrategy 
SionStartDekectStrategy 
DarchrowStrategy 
CheeseStrategy 
StErutsSktrategy 
WinkterStrategy 
BaseGalaxyStrategyTracker 
JannaVictimStrategy 
JessieStrategy 
MedusaStrategy 
FioraStrategy 
ZiggSsStrategy 
ZyraDektectStrategy 
FakerStrategy 
SkyCasktleStrategy 
FizzStrategy 
PermissionClosedStrategy 
GlassStrategy 
BannerDetecktStrategy 
NUunuSktrategy 
BuUtterStrategy 
MiranaStrategy 


。 ZedDetectStrategy 
。 Canvas9Sktrategy 
。 WindStrategy 


。 NotificationClosedDetectStrategyV2 


。 GalaxyStrategy 

。 VanishingArtStrategy 

。 LeBlancStrategy 

。 AniviaStrategy 

。 MaoKaiStrategy 

。 KnightStrategy 

。 TuskStrategy 

。 ZeUSs9ktrategy 

。 KnightV2Strategy 

。 WeatherSummaryStrategy 


。 NotificationClosedDetectStrategy 


。 MaginaStrategy 
。 MagnusSktrategy 
。 LuluStrategy 

。 TinyStrategy 

。 BoushStrategyV2 
。 ClinkStrategy 


。 NamiV2Strategy: 收集 各 种 用 户 数 据 ， 监 控 行业 其 他 App 使 用 情况 并 上 报 


。 BrandStrategy 

。 JoadquimsSktrategy 
。 9ivirStrategy 

。 Zekt9Sktrategy 

。 SpringStrategy 


如 上 所 示 ， 各 种 Exp 通 过 Event 驱 动 ， 


"ON_BACKGROUND " : 


例如 如 下 远程 配置 文件 意味 着 当 进 程 进入 后 台 时 ， 其 执行 如 下 Strategy 


[ 


If BuUys 呈 1 


"KunkkaStrategy"” 


"AkashaStrategy"” 


"XazeStrategy"， 


"overrideFrameworkProps": 
"bLackListProps": 1 


{ 

"name'"” : 
]， 
{ 

"name"” : 
j 
{ 

"name'"”: 
]， 

"name"”: 

} 

} 

}， 


"SceneId": "4003)" 


]， 


"name"” : 


"name"” : 


"name"” : 


"DarchrowStrategyy"” 


"SniIperStrategy"” 


"AuStrategy"” 


也 包含 大 量 数据 收集 逻辑 ， 例 如 各 种 用 户 身 份 的 collector， 监 控 其 他 App 运 行 、DAU 情 况 : 
unify.ability 
dynamic 
abilities 
dataCol1lect 
ability 
collectors 
activityUsageStats 
lbs 
noti 
加 ALLIPkguUsageConfig 
岁 A1L11PkgUsageSsdColle... 
克 DevInfoCollector 
苞 DummyAsyncCollector 
夺 HonorClubIdCollector 
克 HwLowVerLocationCollector 
局 HwSdNickNameCollector 
赂 LowVerWifiInfoCollector 
克 MnfcLoginCcollector 
赎 0ppoAssistantScreenCol1... 
夸 0ppoCcommunityIdSsdColle... 
赂 0ppoLowVerLocationCcolle... 
岁 0ppoMarketSearchColle... 
屿 0pposdLocCollector 
大 0pposdNameCco1llector 
岁 OppoSstorageInfoColle... 
加 PackageInfo 
属 PhoneServiceB1logHistoryCol1... 
同 PkgInfo 
区 PkgUsageSdCollector 
加 UsageStatsSdConfig 
图 VivoAccountIdColle... 
局 VivoFeedbackCollector 
加 VivoJoviLbsCollector 
图 VivoMnfcLoginCcolle... 
略 VivoSsdLocCollector 
加 VivoSspsUsageCollector 
局 WeiboFdIdCollector 
加 WeiboIdConfig 
加 WeiboSsdNameCollector 
局 WifiInfoSdCollector 
回 XmUsageStatsConfig 
网 XmvoiceAssistantUsageCol1... 
| config 
加 CollectorConfig 
克 CollectorConfigItem 
园 Col1lectorContainer 
局 ReportInfoCconfig 
属 TimeWindow 
局 Co11ectoruUtil 
坊 CONFIG_KEY_EXISTING_COLLECTORS String 
篇 AB_KEY_NEW_COLLECTORS_DISABLE String 
品 isCcollectorDisabledByAliveSalt(String) boolean 


亚 isExistingcollector(String) boolean 
fpPathCheck 
屿 FpPathCheck 


smart_shortcut_plugin 


通过 对 Launcher 桌 面 的 控制 |， 


通过 放置 1*1 的 隐藏 widget， 


加 Plugin 接 口 如 下 


实现 保 活 、 防 代 载 等 功能 。 例 如 通过 


提 权 后 修改 Launcher 的 布局 ， 加 入 一 个 假 的 
as 实 图 标 隐藏 掉 ， 可 达到 防 外 载 目的 。 将 图 标 移 动 到 用 户 常用 屏 处 ， 可 达到 提高 
可 达到 保 活 目的 等 。 其 部 分 接口 在 plugin 中 实现 ， 


转化 率 效 


部 分 在 主 App 代 码 中 实 


。 void addShorktcutk(String arg1, OnShorktcutChangeListener arg2, Long arg3, CommmonShortCutlnfo 


arg4); 


。 boolean hasAbility(String arg1, String arg2); 


。 boolean isShorktcutExist(String arg1, boolean arg2, CommonShortCutlnfo arg3); 
。 void removeShortcutk(String arg1, OnShorktcutChangeListener arg2, long arg3, CommonShortCutlnfo 


arg4); 


base 


境 检测 ， 


局 sensitiveBehaviorMonitor 

襄 SensitiveBehaviorstate 
多 TAG String 
瑟 mEngineeringModeon 
二 mscreenRecording 
雹 msystemIsLogEging B 
配 SsensitiveBehaviorstate() 
羽 checkSstate(int) int 
丽 getAppHookState() int 
瑟 getprocessHookState() int 
矶 getstate(Boolean) int 
矶 getsysPowerMode() int 
西 isEnvUnsafe() int 
isNetworkUnsafe() in: 

boost 

语 BoostRequest 

高 HnBooster 

合 IHvBoost 

data 

访 Datacollector 

dplog 

克 DpLogservice 

售 VLogcontrol 

语 VLogDumper 

env 

启 AppDebuggablept 

访 Debuggablept 

属 DtRet 

主 Emulatorpt 

语 EnvDt 

含 EnvDtManager 

俩 Networkpt 

忘 Rootpt 

亿 Separationpt 

语 Signaturept 

event 

旋 Event 

语 Eventnanager 

启 EventType 

合 IEVentListener 

hook 

语 Breakpointpt 

主 Debuggedpt 

诡 FastLibscanner 

语 Fridapetector 

高 HookDtManager 

遍 HookTracker 

遍 Hookutils 

全 Idapt 

语 JRoguept 

含 NRogueDt 

鸯 ScanRecord 

个 substrateDetector 

高 TueakMept 

司 xposedDetector 

model 

safeguard 

克 Actionutils 

仿 clearsysLog 

周 ClearSysLog$$Lambdag$2 

启 Safeguardservice 

util1s 

全 MansUtils 


app_sd_kthousand_plugin 


RE 
为 ， 并 党 试 清除 系统 日 志 。 通过 nvwa VMP 进 


_secdt_ comp_plugin, ct_plugin 


行 保护 。 


局 main 


加 ce… [下 回 sum.， 


Package com.xurmenBgpinduoduop964cs.secvComp.pluginvbehavior 


局 sensitiveBehaviormonitor 


3 import android.os.SystemClock3 
import app.BotpddActivityThreadi 

5 smport com.xunmleng.pinduoduo.cs.sec.Comp.sdk.intfs.ISBServicey 
import comvxunmeng.pinduoduo.paB4cs-sec.comp-plugin.env.DtRet 
import com xunmieng-pinduoduo-pg94cs.sec,comp-plugin-env-EnvDtHanager 
import com,xunmeng.pinduoduo,pge4cs v,NetworkDt 
import comvxunmeng.pinduoduo.peg4cs.sec.comp-pluginhook.HookDtManager3 
import com,xunmeng.pinduoduo.pgb4cs,sec.comp.plugin.utils.MiscUtilsy 


1 import com.xunmeng.pinduoduo.p994cs.sec.comp-plugin.utils.PowerUtils3 
2 import com,xunmeng,plugin.adapter_sdk .utils.ManweLogBer 了 
Ar renamed From; com,xunmeng.pinduoduo cs,sec,comp,PL 

A# Loaded 六 am; real,jaricom/xunmeng/pinauaduayc 
public class SensitiveBehaviorState implements ISBSer' 

public static String TAG 

public Boolean mEngineeringMhodeony 

public mScreenRecordingi 

public Boolean mSystemIsLoggingi 


.behavior.SensitiveBehoviorstate */ 
MPpLUginyBehavior/SensitiveBehaviorStote -class 9/ 


AN JhDX DEBUG6: hnother duplicatedl sttce has diFferent insns counts ICONST_STRI7 
public int checkState(int i) 
24 long elapsedRealtime = SystemClock.elapsedRealtime(); 
try 
switch 人 【 
case 9 
int state - Betstate(this.msystenmIsLogEinE); 
ManweLogger.Ii("CSEC.P1g.SBStater， ”check state ”十 卫 二 
return statei 
case 1 
2 int state2 =- BetState(this.mScreenRecording); 
ManweLogBger if"CSEC.P18.SBState"， ”check state ”十 主 + ”ca 
return state23 
case 2 
return NiscUtils,isDevOpton() ? 1 : 95 
case 3 
int state3 - getState(this,nEngineeringNodeon); 
ManweLogger it"CSEC.P18.SBState"，"chieck state ”二 主 十“ 
return state33 
case 4 


Finalty: frcoNsT STR 


2 int isNetworkUnsafe = isNetworkUnsafe(); 
ManweLogger,i("CSEC.P1Bg,SBState"， ”check state ”+ 主 + ”ca 
returnm isNetworkUnsafei 

oase 5 
int = (0 
ManweLogBer vi('CSEC.P18.5B5tate，" 
returm 

case6 
int syspowerhode =- getsyspowerhode(); 
ManweLogger.i("CSEC.P1g.SBState， ”check state ”+ 了 + 
return syspowerhadej 

case 7 
int appHookState = getAppHookStet 
MianweLogger.i("CSsEC.PIE.SBState ny 
returnm apphHookState3 

case 
int processHookState - getproce 
manwelLogger.i("CSEC.P1E.SBSt 
returnm processHookState3 

default 
MianweLogger .i("CSEC.PIE.SBStatev， 
return -1 


hieck state ”十 主 二 ”Cost * 十 


check state "+ 了 + ”cost "+ 


} finally 
ManweLogger.if"CSEC.PIB.SBState"y 
} 


check state ”+ 工 + "cost ”+ (SystemClock-elapsedRealtime() 


】 


public int getstatefBoolean bool) { 
4f (bool -- null) { 
return -1 
return bool.booleanValue() ? 1 : 63 


} 


public int OO 
return 【EnvDthanager instance(),isUnsafe() || Hookpthanager.BetInstance() ,isAppHooked()) ?1 : 5 
] 


《SystemClock.elapsedRealtimer) 


+ 【Systemclock.elapsedRealtime()》 


+ (systemclock.elapsedRealtime() 


《SystemClock.elapsedRealtime() - 


(systenclock.elapsedRealtime() - 


{SystemClock.elapsedRealtimet) - 


”+ (systenmclock.elapsedRealtime() 


【systemcClock.elapsedRealtimet) 


(SystemClock.elapsedRealtimef) - 


如 果 发 现 正在 被 调试 或 hook， 


局 sensitiveBehaviorstate 


CONsTRUCTOR，CONST_STR，INVDKE，TNVOKE，CONST_STR, 


elapsedRealtime) )3 


elapsedRealtime))3 


elapsedRealtime) )3 


elapsedRealtinme))3 


elapsedRealtinme) )3 


elapsedRealtime) )3 


elapsedRealtime) )3 


elapsedRealtime) ); 


elapsedRealtime) )3 


elapsedRealtime))3 


则 不 出 现 恶意 行 


TVOKE，TNVoKE，ARITH，INVOKE，IWVOKE，TNVOKE 


其 他 App 的 动态 代码 文件 后 进行 提 权 并 驻 留 后 门 的 逻辑 ， ee 他 应 用 隐私 数据 的 


模块 ， 
步 利 用 。 


例如 利用 系统 备份 功能 ， 贰 取 微 信 聊 天 记录 。 在 提 权 成 功 后 ， 


会 从 远 端 再 次 拉 取 dex 文 件 ， 


进行 进 一 


世相 荆 旺 
Y 国 p894hw 
卫 pee5sbr 
》 锅 GragasHwBrInstantManager 
》 局 HwBrTrackType 
v 占 util 
》 写 HwCacheUtils 
》 屿 HwCcdutils 
》 屿 GragasHiDiskManager 
… 蕊 GragasHwManager 
喜 TAG String 
瑟 allSupportSsdSceneList List 
融 sdsceneManagerMap Map 
画 GragasHwManager() Void 
员 checkInjectEncryptApkCondition(String，InjectConfig) bc 
囊 checkInjectFile(String，InjectConfig，InjectParam) boo- 
品 checkOtherCondition(String，InjectConfig) boolean 
西 filterCommonConfigResource(String，InjectConfig) void 
可 getA11SupportSsdSsceneList() Lisf 
品 getFpScene(String) String 
囊 getPluginInfo(String) List 
古 getSsdSceneManager(String) 6GragasBaseManager 
玉 getSdSceneManager(String，boolean) GragasBaseManager 
三 getSdSceneRequestpParam() Map 
囊 hasInjectedEncryptApk(String，String，InjectConfig) bo 
号 inject(String，InjectParam，InjectConfig) InjectResult 
本 injectEncryptApk(String，File，InjectCconfig) boolean 
态 isInjected(String) boolean 
囊 needPreCheckFp(String) boolean 
吨 needSubmituUesTrack(String，InjectConfig) boolean 
吕 onProcessStart(Context) void 
吓 onReceiveUesResult(String，String，]JSONObJject) void 
品 onTriggerEvent(Context，String) void 
囊 registerGrantpermissionReceiver(String) void 
品 supportDemandFp(String) boolean 
吕 supportInject(String) boolean 
》 感 GragasIntelligentManager 
》 馈 GragasInte1l1igentV2Manager 
> 局 GragasLocalD1UESManager 
> 遍 GragasThemeManager 
~ 卫 peesxm 
~ 加 backup 


QGGIe、 园 Q 才 | 目 | 


Y 加 crypto 
》 局 GeneralDigest 
汪 错 HMac 
>》 页 KeyParameter 
> 局 Pack 
》 局 PBEParametersGenerator 
》 凯 PKCS5S2ParametersGenerator 
》 局 SHA1Digest 
》 达 Strings 
》 饥 BackupPackageUtil 
> 和 BackupNork 
》 包 BRItemUtils 
> 凯 GragasAnalyticsFPManager 
> 启 SragasAnalyticsUESManager 
》 态 GragasXMBackupManager 
》 局 GragasXmManager 
> 饼 Utils 
>》 局 XMConstants 


部 分 配置 文件 痕迹 如 下 : 


写 入 系统 应 用 和 撑 音 、 高 德 等 其 他 应 用 以 驻 留 后 门 配 置 


"pinduoduo Android. ka strategy _biz galLio 63400_expect_lUist":( 9":"[Nn 
\"V/data/yuser/V9/vcom.Vvivo.browser/vapp_pLatform_pLugin/X34140/Xnotify28 .dexx" ,ANn 
N"/data/user/Vo/com.vivo.browser/Vapp_ptLatform_pLugin/X34140/process26 .dexN" ,和 


有 


\"/data/user/V9/vcom,.vivo.contentcatcher/vapp_apk/subject.apk\"Nn 


<《 记 GragasAppstoreManager 区 ragasLaunchermanager 局 VivoofficialUninstallCommandEXxecutor 局 oppopictor 
1 package com.xunmeng.pinduoduo.sd 1009_v2.gragas-manager.p904hw3 
2 
3 import android.content.Context; 
4 import android.text.TextUtils; 
5 import com-xunmeng.pinduoduo-alive.strategy .interfaces-adapter-proxy .Logger; 
5 import com.xunmeng,.pinduoduo.alive.strategy .interfaces.adapter.proxy .StrategyFramework; 
7 import com.xunmeng.pinduoduo.sd_1909_v2.common.util.Utilsy 
8 import com.xunmeng.pinduoduo.sd_1966_v2.gragas.entity.InjectConfig3 
3 import con.xunmeng.pinduoduo.sd_1909_v2.gragas.entity.Tnjectparam; 
16 import com.xunmeng.pinduoduo.sd_1066_v2.gragas.entity.InjectResult3 
11 import com.xunmeng.pinduoduo.sd_1966_v2.gragas.entity.SdSceneRequestparam3 
12 import com.xunmeng.pinduoduo.sd_1966_v2.gragas.manager.GragasBaseanagery 
13 import com.xunmeng.pinduoduo.sd_1960_v2.gragas.manager.pg94hw.pO05br,GragasHwBrInstantManager; 
14 import com.xunmeng.pinduoduo.sd_1969_v2.gragas.util.GragasCacheUtilsi 
15 import java.io.File3 
16 import java.util.ArrayList3 
17 import java.util.HashMap; 
18 import javautil.Iterator3 
19 import java.util.List; 
29 import java-util.Mapy 
21 import org.json.]SONObject; 
22 
23 /* renamed 大 om: com.xunmeng.pinaduoduo.sd_21069_u2.gragas.manager.ha.6ragasHwnanager */ 
24 /# Loaded 及 om: app_sd_thousoncl_pLugin.jar:com/xunmeng/pinduoduo/sa_ 1689_v2/gragasVmanager/hyGragasHwManager,cLass */ 
25 public class GragasHwManager extends GragasBaseManager { 
26 public static String TAG; 
27 public List allSupportSdSceneList = new ArrayList()j 
28 public Map sdSceneManagerMap = new Hashhap()3 
29 
39 public GragasHwManager() 
31 this.allSupportSdSceneList.add("hw_intelligent")3 
32 this.allSupportSdSsceneList.add("hw_hidisk")3 
33 this.allSupportSsdSsceneList.add("hw_thene")3 
了 4 this.allSupportsdsceneList.add("hw_br_instant") 
35 this.sdsceneManagerMap .put("hw_intelligent"，mnul1) 引 
36 this.sdsceneManagerMap.put("hu_hidisk"，nul1); 
37 this .sdSceneManagerMap -put("hu_theme"，mnul1)3 
38 this.sdSceneManagerMap.put("hw_br_instant"，nul1)3 
39 this.sdSceneManagerMap-put("hw_intelligent_ues"，nul1); 
48 this.sdSceneManagerMap.put("hw_hidisk_ues"，nul1)3 
41 this.sdSceneManagerMap.put("hu_theme_ues"，nu11): 
42 this ,sd5ceneManagerMap -put("hw_file_mng_ues"，nul1)3 
43 1 
44 
45 public GragasBaseManager getSdSceneManager{String str) { 
46 return getSdSceneNanager(str，TextUtils.equals(GragasCacheUtils.getLocalInjectConfigExecuteType(str)，"ues"))1 
47 了 
48 
49 public GragasBasemanager getsdsceneManager(Sstring str，boolean z) { 
59 GragasLocalD1UESManager gragasLocalD1UESManager =- nul1; 
51 if (ITextUtils.isEmpty(str)) 工 
52 String str2 = zZ ? str + "”_Ues” : str3 
53 if (this.sdSceneManagerMap .containsKkey(str2)) { 
54 gragasLocalD1UESManager = (GragasBaseManager) this.sdSceneManagerMap .get(str2); 
55 if (gragasLocalD1UESManager == null) { 
56 if (z) { 
57 gragasLocalDl1UESManager =- new GragasLocalD1UESManager(str)3 
58 Logger.i(TAG，"create GragasLocalD1UESManager instance: ”+ str); 
59 } else if ("hw_intelligent".equalsITgnoreCase(str)) { 
69 gragasLocalD1UESManager = new GragasIntelligentV2Manager()3 
61 Logger.i(TAG，"create GragasIntelligentV2MNanager instance.")3 
62 } else if ("hw_hidisk".equalsIgnoreCase(str)) { 
63 gragasLocalD1UESManager - new GragasHiDiskManager(); 
64 Logger.i(TAG，"create GragasHiDiskmanager instance."); 
65 } else if ("hw theme".equalsIgnoreCase(str)) { 
66 gragasLocalD1UESManager = new GragasThemenianager(); 
67 Logger.i(TAG，"create GragasThemeManager instance-")3 
68 } else if ("hw_br_instant".equalsTgnoreCase(str)) { 
69 gragasLocalD1UESManager = new GragasHwBrInstantManager(); 
78 gragasLocalD1UESManager .init(StrategyFramework.getFrameworkContext())3 
浊 Logger.i(TAG，"create GragasBrInstantManager instance,"); 
有 
if (gragasLocalD1UESManager != nul1) { 
74 this.sdSceneManagerMap.put(str2，gragasLocalD1UESManager)3 
鸡 】} 


\"/data/vuser_de/o/vcom.Vvivo,.aiengine/fiLes/smartedge/vcom.Vvivo.Sshortvideoinfe 
r1004/dex/shortvideo_infer_ 1004.apk\"ANn 
\"V/data/yuser_de/o/Xcom,.Vvivo,.aiengine/cache/extraDexs/vivoruLeengine_extra.zi 


peNn 


\"V/data/yuser_de/o/vcom,.Vvivo,.aiengine/fiLes/vcode/vdex/VcodeImpL.apkA"ANn 
N"V/data/yuser/9/com.Vvivo,.voicewakeup/fiLes/vcode/vdex/VcodeImpL.apkA"ANn 
N\"V/data/yuser/v9/vcom.android.bbkmusic/ZfiLes/X16.LrctempLate\" ,ANn 
N"V/data/yuser/yoycom.android.bbkmusic/yfiles/X17.LrctempLatex"  Nn 
N"V/data/yuser_de/o/Xcom,.vivo.vms/vfitles/Xvcode/vdex/VCcodeImpL,apkx" ,ANn 
N\"V/data/yuser_de/o/Xcom,.Vvivo.pem/fitles/vcode/vdex/VCcodeImpL,.apkA" ANn 
N\"V/data/yuser/9/vcom.Vvivo.devicereg/filLes/vcode/dex/VCcodeImpL.apk\" ,ANn 
\"V/data/yuser/v9/vcom.android.vivo,tws.Vivotws/vfitlLes/vcode/vdex/VCcodeImpL,.apkx'" 


NO 


N"V/data/vuser/vo/vcom,.vivo,vhomeVvfiLesXvcode/vdex/. , ， 


N\"/data/user/Vo/Xcom,.vivo.assistant/fiLes/vcode/vdex/VcodeImpL.apkA" ANn 


/data/user/V9/vcom.ss.android.ugc.aweme/vfitLes/XpLuginsXvcom.ss.android.ugc.awem 
e.dqrcode_pLuginv2/version-1471990000/apk/base-1.apk\"，..， 


从 远 端 再 次 拉 取 dex 文 件 后 利用 


文件 来 源 为 配置 文件 中 如 下 部 分 : 


ab_sd1000_dynamic_cmd_config_ 58900:ABEXpItem{tkey='nuLL'，VvalLue= '({ 
2 人 

"key_sdtdy_cLass_name" : 
"com.googtLe.android.sd.biz dynamic_dex.Ssync.SyncEXxecutor"， 

"key_sdtdy_ method_name": "execute"， 

"key_sdtdy_clLass_version": "2022071701"， 

"key_sdtdy_use_remote_urL": falLse， 

"Key_sdtdy_need_LocalL filLle": falLse， 

"key_sdtdy_remote_urL_ suffix": "/dynamlic/4e824786-3476-49f4-b7dd- 
abf4d1d238b3 .zip"， 

"key_sdtdy_remote_urL type": "1”， 

"key_sdtdy_remote_urL md5": "9d8cf69bfe6b86c6261e9687d1552f95"， 


"downtLoad_urtL": "https://commfitle.pddpic.com/XgatLerie- 
go/Sspirit/sd1000/Xdex/vf4247da0-6274-44eb-859a-b4c35ecodd71.dex"” 
上 
全 25 人 


"key_sdtdy_clLass_name'" : 
"com.googtLe.android.sd.biz_dynamic_dex.uUsage_event ,UsageEVvVentEXecutor'"， 

"key_sdtdy_clLass_version": "2023010901"， 

"key_sdtdy_method_name": "executeAsync'"， 

"downtLoad_urtL": 
"https:/V/commfitle.pddpic,.com/sdfitleZvcommon/b50477f70bd14479a50e6fa34e18b2a0 
.dex" 


六 


附录 二 : 各 Strategy 用 途 描 述 


mm 


JayceStrategy: 获取 RunningProcess 的 importance， 获 取 主 进程 pid、 获 取 进 程 启动 时 间 等 ; 
jayceconfig 不 为 空 触 发 

WingStrategy: 三 星 手机 上 自 启 动 ， PROCESS_START 触 发 
CheeseStrategy:ViVvo 手 机 上 ,用 content://com.vivo.assistant.upgrade 打开 
data/user_de/o/com,.vivo.appfitLter/databases/afsecure.db， 插 入 bring_up_apps 
等 ; FP_PERM_READY 

CheeseStrategy40ther: ViVo 手 机 上 ,用 content://com.vivo.assistant.upgrade 打开 
data/user_de/o/com.vivo,.appfitLter/databases/afsecure.db， 插 入 bring_up_apps 
等 ; FP_PERM_READY 

ShenLawDetectStrategy: 动态 启动 了 两 个 components， 一 个 activity， 一 个 receiver , 注 
册 了 screen_receiver ; ka_strategy_biz_shen_tracker_62300 
TalonStrategy :获取 输入 法 、 输 入 法 方式 、 获 取 输 入 等 ; oppo、vivo 的 sogou, 百度 输入 法 ; 


taLon_config_input_method_ 64100 
CLinkzStrategy :屏幕 熄灭 时 执行 任务 ， 先 检查 网 络 ， 上 次 执行 的 时 间 等 状态 ; 具体 任务 估计 跟 
vivo_market 有 关 ; 
BatteryStrategy :监控 电池 状态 ， 当 状态 改变 时 ， 发 送 intent， 用 来 保 活 
DazzlLeStrategy: 自 启动 、 唤 醒 等 ; honor 
FitLeProviderProbStrategy : 探测 获取 apk 的 包 结 构 等 ; 
RangersStrategy: 利用 小 米 应 用 市 场 ， 达 到 保 活 , app 更 新 等 ; MIUI10 以 上 
Intent intent = new Intent( ) 
intent .setComponent(new ComponentName("com,.Xxiaomiz.market"， 
"com,. Xiaomi.market.ui.JoinActivity") )， 
intent .setAction("android.intent.action.VIEW") ; 
intent .setData(Uri.parse("market://update" ) ) ， 
Intent. putEXtra("onCLickButton'"，true)， 
intent .putEXxtra("updatePackageList"，Sstr); 
intent .putEXxtra("pageRef"， "notification_outstandinguUpdate" ) ; 
intent. putEXtra("sid" “default ) 
intent .putEXxtra("SourcePackage"， "com.Xxiaomi.market"”) 
intent ,setFLags(-2130685952 ) ; 
return Intent ; 


Intent Intent = new Intent( ) 

intent .setComponent(new ComponentName("com,.Xxiaomiz.market"， 
"com .Xiaomi.market.testsupport.DebugService") ) ; 

return Intent ; 


Intent LaunchIntentForPackage = 
AppListApIi.getLaunchIntentForPackage(getCcontext(),.getPackageManager()， 
"com .XiIaomi.market"， 
"com.xunmeng.pinduoduo.aLive.strategy.biz,.pLugin.rangers,RangersStrategy") ， 
LaunchIntentForPackage.setFLags(-2130685952 ) ; 
return LaunchIntentForPackage:， 


BaLanarStrategy: 锁 屏 利 用 ， 锁 屏 后 加 入 不 清理 的 应 用 列表 ， 保 持 运行 
StripBareStrategy : 探测 pkgList， 并 获取 相关 信息 
GalLaxyStrategy :获取 应 用 的 SharedPreferences 
NamiSstrategy: 收集 各 种 用 户 数据 
StrutsStrategyHeLper : 根据 nessage，, 来 创建 各 种 payLoad 的 对 象 

RequestPayLoad requestPayLoad2 = (RequestPayLoad ) 
this.pLuginJSONFormatUtitLs.fromJson(message0.payLoad.toString()， 
RequestPayLoad ,CLASS_NAME ) ; 
GeorgeStrategy :小 米 手机 设置 壁纸 ， 同 注册 天 气 应 用 的 广播 ， 来 查询 应 用 ; 小 米 
CreamStrategy :给 应 用 添加 权限 
CreamStrategy40ther : 给 应 用 添加 权限 ; vivo 
content://com.Vvivo.assistant.upgrade/ 打开 
data/user_de/%d/vcom,.vivo,.permissionmanager/vdatabases/permission.db 
YmirStrategy :华为 节 电 选项 等 修改 
IDBHandLe openDB = 
FiLeProviderV2.instance(),.fiLleProvideruUtiLs().openDB(Uri.parse(getF1iLePath( 
context， 
"content :/V/com,android.settings,fiLles/Xmy_rootvdata/user_de/%d/%s/vdatabaseSs/ 
smartpowerprovider .db") ) )， 
cursor = SQLiteDatabase.query("unifiedpowerapps"”，nuLL，"pkg_name = ?3"，new 
SEErndll 吕 改 SGWN RISEIOUIUSLS ETUEILIS) 
ZecStrategy: 悬浮 窗 ， 快 捷 方 式 等 ; 0ppo 手 机 


sendBroadcast("com.oppo.Launcher"，"p"， 
"oppo.intent .action,.PACKAGE_SHOW_INF0O"，String.VvVaLueof(I) ) ; 
If (!ZecUtilLs.hasPermission(IntVaLue，1) && 
ZecAB,1iISsZecStoreAbEnab Le()) { 
Logger.I("LVST2.B1Iz.PLugin.ZecStrategy"，"alLLow set 
Store permission.") ， 
EECO | 攻 包 7 
外 
if (!ZecUtilLs.hasPermission(IntVaLue，4) && 
ZecAB,.1iISsZecFLoatwindowAbEnablLe( )) 六 
Logger .II("LVST2.B1Iz.PLugin.ZecStrategy"，"alLLow set 
flLoatwindow permission."); 
工 |= 64:， 
外 
if (!ZecUtilLs.hasPermission(IntVaLue，32) && 
ZecAB,1iISsZecShortcutAbEnablLe()) 并 
GalLioStrategy :获取 /data/system/package-dex-usage.List, 从 而 获取 安装 的 app 信 息 ; 
MinerStrategy :查找 手机 上 的 debug Log 文 件 , vivo, oppo, 小米, 三星 ， 魅 族 等 
YiStrategy: 录 屏 时 查看 最 上 层 应 用 
DianaStrategy: 读 写 剪 切 板 ， 一 像素 保 活 ; 小 米 
KarmaStrategy :通过 厂商 健康 类 应 用 ， 收 集 步 数 ; 华为 、oppo 
AhriSstrategy :利用 小 米 语音 助手 ， 执 行 了 一 些 行为 ; 
Intent intent2 = new Intent() ; 
intent2.SsetComponent (new 
ComponentName("com.miui,.voiceassist","com,.tencent .connect .common.AsSsistActi 
ViIty”) ) / 
intent2.addFLagSs(-2122297344 ) ; 
ddLaw(transitByTencent(intent2，ahriCconfig) )， 


private boolLean hasCcoLtLected() { 


return 
MMKVCompat .moduLe("”LVUA.XmvVoiceAsSslistantUsageCoLtLector"， 
false).getLong( "Last_success_collect timne"，9) != 0，; 】 
ApoLLoStrategy :获取 进程 信息 ， 杀 和 死 进程 ; 屏幕 关闭 的 时 候 
DancerStrategy: 启动 任意 intent ;MIUI10 以 上 


ViSstrategy: 配 置 获 取 权 限 ; 
PurgeVv2Strategy: 启动 提 权 EXP 
GhostStrategy : 锁 屏 相关 
DirgeStrategy:LockDispLay;oppo 
SionStartDetectStrategy : 配置 一 些 能 力 项 
String expKey = 
"pinduoduo_Android.ab_keep_alLive_strategy_sion_detect_63500_exp"; 
LiSst abiLityNames = Arrays,.asList("DirectSubAbiLity"”， 
"RumbLeSubAbiLity"，"FLoatSubAb1iLity"，"RyzeSubAbiLity"， 
"NotificationSubAbiLity"，"ALarmSubAb1lILity"”) ，; 
DarchrowStrategy :小 米 加 白 ; 获取 版 本 等 ; 
StrutsStrategy :根据 config，, 创建 各 种 payLoad 请 求 的 message 
winterStrategy: 按 action 查 找 provider ; 小 米 
getAuthorityByAction("miui.intent.action.SETTINGS_SEARCH_PROVIDER"， 
"com. Xiaomi.Vvipaccount") ， 
Jannavictimstrategy :获取 进程 信息 ;pLugin 更 新 
JessieStrategy :进程 管理 
MedusaStrategy: 自 启动 
FioraStrategy: 收 集 设 备 相 关 信 息 ， phone、system、gobal 人 信息， 根据 配置 ， 这 试 执行 配 置 中 的 


法 这 
ZiggsStrategy:;: 双 开 检 测 ; 
ZyraDetectStrategy :根据 配置 ， 检 测 文件 是 否 存在 ; 
FakerStrategy: 创 建 一 个 虚假 的 屏幕 显示 ; 
SkycasttLeStrategy: 和 FackerStrategy 配 合 ， 创 建 虚假 的 屏幕 显示 VIvo 
FizzStrategy :查找 文件 存在 ， 添 加 文件 ， 修 改 文 件 ; 
PermissionCLosedStrategy:0ppo Rom 的 detector 
GlassStrategy : 检测 service 状 态 ; 小 米 
com,.miui.securitycore'"， 

"com.miui.enterprise.service.EntInstaLLService'" 

BannerDetectStrategy :banner 广 告 检测 和 展示 ; oppo, vivo 

NunuStrategy: "registerAppUsage0bserver'" 能 力 调 用 ; 
SdThousandAbiLityRequest sdThousandAbiLityRequest = new 
SdThousandAbiLityRequest("registerAppUsage0bserver"，builLdSsdRedquest ) ; 
ButterStrategy: 加 白 ， 写 文件 ; rewriteByShelL1 
MiranaStrategy:LauncherDetect 
ZedDetectStrategy :还 是 操作 vivo 的 那个 数据 库 ; /databases/afsecure.db 
canvasStrategy: 获 取 重 启 时 间 ;刷新 了 耗 电 状况 ? 
windStrategy :查找 provider 

NotificationCLosedDetectStrategy: 检测 通知 栏 
NotificationCctLosedDetectStrategyV2 :功能 一 样 
VanishingArtStrategy :隐藏 或 删除 一 些 cache; removeUnusedCcache 
LeBLancStrategy :发 送 通知 ; oppo 

Intent Intent = new 

Intent("oppo,.Ssafecenter .intent,action.CHANGE_NOTIFICATION_STATE"” ) ， 
intent .SetComponent (new 
ComponentName("com.colLoros.notificationmanager"”， "com.cotLoros.notificationma 
nager receiver .StatictisReceliver") ) ; 
Aniviastrategy: VIV0O 的 一 个 数据 库 操作 

"content :/V/com,Vvivo.asslistant,.upgrade/"”) + 
getVpPath("data/user_de/%d/Xcom.Vvivo.abe/databases/BehaviorEngine.db") 
MaoKaiStrategy :清除 ActivityTask 等 ;华为 

"com.huawei.ohos ,famanager"， 
"com.huawei.abiLitygaLLery,.ui.FormManagerActivity"”) ) ; 
KnightStrategy:startBgActivityByThemeManager;startActivtyByNewHome 人 小米 
KnightV2Strategy : 功能 大 致 一 样 ， 第 二 版 本 

TuskStrategy :防止 被 清理 ; vivo 

content ://com.android.settings.fileprovidervroot_filLes/Xdata/yuser_de/%d/vcom，， 
vivo.uUpsLide/vdatabases/speedup .db 
ZeusStrategy :华为 角 标 状态 改变 ; caLLSetUnreadState 

content ://com.hihonor.android,Launcher .settingsXbadge 
WeatherSummaryStrategy :用 天 气 服务 打开 activity 
Maginastrategy :华为 应 用 市 场 相 关 利用 

com.huawei.appmarket"”， 
"com.huawei.appmarket.Sservice.externaLapi.view.ThirdApIiActIivity 
MagnusStrategy :通知 栏 update 等 ;0ppo 

getoppocLeanPageActivityCcomp ; 
com.heytap.cdo.clLient.search.notification.SearchNotificationReceliver 
LuLuStrategy: 自 启 动 等 ; 

"content ://com.coloros.safecenter.security.InterfaceProvider") ; 
"content ://com,opLus.Ssafecenter ,Security.InterfaceProvider"” 
TinyStrategy :改变 电池 状态 通知 

content ://com.android.settings.files/Xmny_root/vdata/vuser_de/%d/%s/vdatabases/s 
martpowerprovider .db" 


BoushStrategyV2: 自 启动 后 改变 状态 ; MIUI12 以 上 

CLinkStrategy: 写 了 这 个 文件 ;估计 是 自动 更 新 

content ://com.bbk.appstore.upgrade/data/vdata/vcom.bbk.appstore/vfiLes/vmmkv/co 
m.bbk.appstore_push_config 

NamiV2Strategy: 收集 各 种 用 户 数据 ， 监控 行业 其 他 App 使 用 情况 并 上 报 
BrandStrategy: 关 屏幕 时 下 载 文件 
Joaquimstrategy :查询 了 这 个 数据 库 ，uid、power、maxPower 等 ; 
data/vdata/vcom.Vvivo.abe/databases/BehaviorEngine,.db 
SivirSstrategy :操作 隐藏 图 标 等 ; 

ZetStrategy :Titan 唤 醒 等 ; 

SpringStrategy :后台 执 行 , 添加 悬浮 窗 等 ; 


有 的 包含 基础 工具 类 DynamicuUtits :功能 包含 执行 系统 命令 ， 获 取 设 备 上 app 信 息 ， 获 取 apk 私 有 文 
件 7 清除 日 志 等 ; 
其 中 CmdData 用 于 构造 参数 ， 以 下 每 一 个 功能 都 对 应 一 个 CMD 编 号 ，CMDHandLer 用 于 派发 具体 方法 ; 
com.googtlLe.android.sd.biz_dynamic_dex.app_usage_observer .AppUsageobserver .d 
ex: NuNuStrategy 中 AppUsage0bserve 的 具体 实现 ; 发 现 App 使 用 情况 
com.googltle.android.sd.biz_dynamic_dex.check_aster.CheckAsterExecutor .dex :与 
上 一 个 功能 类 似 ， 都 有 instaLLApkChecker 类 
com.googtlLe.android.sd.biz_dynamic_dex.get_account_extra.GetAccountEXxtraEXxec 
utor ,dex :获取 Account，Vivo 系 统 备 份 存 储 等 ; 
com.googtlLe.android.sd.biz_dynamic_dex.get_accounts .GetAccountSEXxecutor .dex : 
获取 账户 ; 
com.googtlLe.android.sd.biz_dynamjic_dex,.get_history_ntf_path.GetHistoryNtfPat 
hExecutor ,dex: 获 取 通 知 栏 的 通知 历史 的 数据 库 
com.googtle.android.sd.biz_dynamic_dex,.get_icon_info,GetIconInfoEXecutor .dex 
:获取 图 标 ; 小米，vivo, 华为 ; 

content ://com.miui.home,.Launcher .settings/Xfavorites") 

If(TextuUtils. equals(a.a()， ”vivo")) 六 

return 

Urli.parse("content ://com,bbk.Launcher2.settings/favorites") ，; 


】} 


return TextUtitLs.edquals(a.a()， "huaweIi") ? 

Uri.parse("content:/V/com,.huawei,android.Launcher.settings/favorites") 
ui 

】 
com.googtlLe.android.sd.biz_dynamic_dex.get_icon_info,.GetIconInfoEXecutor ,dex 
:获取 图 标 ， 
com.google.android.sd.biz_dynamic_dex.hw _ fitLe_cmd.HwFiLecmdExecutor .dex : 华 
为 手机 相关 命令 执行 
com.googtlLe.android.sd.biz_dynamic_dex.hw_ get_input.HwGetInputEXxecutor .dex : 
输入 文件 ， 通 过 备份 文件 ? 

:ClLient sliog_ cache 
com.googtlLe.android.sd.biz_dynamic_dex.hw_hide_power_window.HidePowerwindowE 
xecutor .dex :华为 隐藏 电量 情况 
com.googtlLe.android.sd.biz_dynamic_dex.hw_notification_Listener.HWNotificatiI 
onListenerExecutor .dex: 监 听 通 知 栏 ; 华为 
com.googlLe.android.sd.biz_dynamic_dex.hw_permission,.HwPermissionExecutor .de 

Xx :操作 改变 通知 栏 内 容 ;honor 
com.googtLe.android.sd.biz_dynamic_dex.hw_power_update.HwPowerUpdateExecutor 

.dex :华为 电量 状态 更 新 
com.googtle.android.sd.biz_dynamjic_dex,.hw_selLf_start,.HwSeLfStartEXecutor ,dex 
: 自 启 动 ; 获取 私有 sharedprefernce 等 ;华为 


com.googlLe.android.sd.biz_dynamic_dex.hw_ widget.HwAddwidgetExecutor .dex : 添 
加 widget ;华为 

com.googltle.android.sd.biz dynamic _dex.Logcat.LogcatExecutor .dex: 获 取 系 统 日 志 
com.googlLe.android.sd.biz_dynamic_dex,.notification_Listener .NotificationLis 
tenerExecutor .dex :监听 通知 栏 
com.googtlLe.android.sd.biz_dynamic_dex.oppo_boot_perm.O0ppoBootPermEXxecutor .d 
ex :通过 content ://com.coLoros.safecenter.security.InterfaceProvider、 
content://com.optLus.safecenter.security.InterfaceProvider 获 取 启 动 参数 ; oppo、 
onepLus 
com.googlLe.android.sd.biz_dynamic_dex.oppo_community_id.0ppocommunityIdEXxec 
utor .dex : 盗 取 com.oppo,.community 相 关 账 号 信 

息 ; /shared_prefs/CcurrentLoginuUserUid.xmL 0Oppo 
com.googtLe.android.sd.biz_dynamic_dex.oppo_get_input.OppoGetInputEXxecutor .d 
ex :输入 文件 ,patch apk 等 ; oppo 
com.googtlLe.android.sd.biz_dynamic_dex.oppo_get_tLoc.0ppoGetLocEXxecutor .dex : 
获取 位 置 ;oppo 
com.googtlLe.android.sd.biz_dynamic_dex.oppo_get_settings_username ,GetSetting 
sUsernameExecutor .dex: 获 取 setting 的 Username 
com.googtlLe.android.sd.biz_dynamic_dex.oppo_infect_dynamic.0ppoInfectEXxecuto 
r.dex: 快 应 用 平台 应 用 的 相关 利用 ; Oppo com.nearme.instant.pLatform ; 
com.googtle.android.sd.biz_dynamic_dex,.oppo_notification_ut.OppoNotification 
UTExecutor .dex :通知 栏 相关 接口 ; 
com.googlLe.android.sd.biz_dynamic_dex.oppo_notification.O0ppoNotificationEXxe 
cutor .dex: 改 变通 知 栏 状 态 
com.googtLe.android.sd.biz_dynamic_dex.oppo_permission.O0ppoPermissionExecuto 
r.dex: 添 加 widget，permission 等 ; 0ppo 
com.googtle.android.sd.biz_dynamic_dex,.oppoaddwidget ,OppoAddwidgetExecutor .d 
ex :添加 widget;oppo 
com.googltle.android.sd.biz_dynamic_dex.oppoau.0ppoAUExecutor .dex : 防 印 载 ;0ppo 
com.googlLe.android.sd.biz_dynamic_dex.oppopm.OppoPMEXxecutor .dex oppo 操 
作 锁 屏 
com.googtlLe.android.sd.biz_dynamic_dex.query_Lbs_info.QueryLBSInfoEXxecutor .d 
exX 位 置信 息 
com.googtlLe.android.sd.biz_dynamic_dex,.reset_Log.ResetLogEXecutor ,dex 


清除 Logcat 日 志 

com.googltle.android.sd.biz dynamic _ dex.rubick.RubickCmdExecutor .dex 执 
行 命令 (设置 sid, 返回 pid 等 ) 
com.googlLe.android.sd.biz_dynamic_dex.sync.SyncEXxecutor .dex 执行 命令 


(move_position，update，query, detLete 等 操作 ) 
com.googtlLe.android.sd.biz_dynamjic_dex.td.Logcat .TDLogcatEXecutor ,dex 

通过 Logcat 日 志 对 Activity 切 换 监控 
com.google.android.sd.biz_dynamic_dex,.ud_get_nmessage.UdGetNMessageEXxecutor 


_6f9451e79a0a4b53aff86fe489dffd22 .dex 获取 通知 消息 
com.googtlLe.android.sd.biz_dynamic_dex.ud_notification_Listener.UdNotificatiI 
onListenerExecutor .dex 获取 通知 消息 


com.googtlLe.android.sd.biz_dynamic_dex,.ud_parse_nmessage.UdParseNotifyMessadg 
eEXxecutor .dex 解析 通知 消息 
com.googtLe.android.sd.biz_dynamic_dex,.usage_event ,UsageEVventEXecutor .dex 
获取 事件 信息 
com.googtlLe.android.sd.biz_dynamic_dex,.usage_event_alLL.USsageEventALLEXecutor 
.dex 获取 事件 信息 
com.googtlLe.android.sd.biz_dynamic_dex,.Vvivo_association_start.VivoAssociatio 
nStartEXxecutor .dex Vivo com.Vvivo.appfitLter_bringupwhiteList .xmtL 解 析 
com.googtlLe.android.sd.biz_dynamic_dex.vivo_browser_settings.VivoBrowserSett 


几 稚 吕 品 


ingsEXxecutor .dex Vivo 修改 vivo 浏 览 器 设置 
com.googtlLe.android.sd.biz_dynamic_dex.Vvivo_get_Loc.VivoGetLocEXecutor ,dex 
vivo 获取 位 置 及 时 间 信 息 
com.googlLe.android.sd.biz_dynamjic_dex.Vvivo_inject_devicereg,.VivoInjectDevic 
eRedEXxecutor .dex ViVvo 注入 文件 
com.googtLe.android.sd.biz_dynamic_dex.vivo_officialL_uninstaLL.VivoofficiatLU 
ninstaLLEXxecutor .dex ViIivVo 操作 应 用 防止 和 卸 载 
com.googtle.android.sd.biz_dynamjic_dex,.vivo_open_push.VivoopenPushEXxecutor .d 
ex vivo 操作 通知 推送 
com.googtlLe.android.sd.biz_dynamic_dex,.vivo_roLlLback_uninstaLL.VivoRoLLbackuU 
ninstaLLEXxecutor .dex ViIiVo 操作 应 用 印 载 
com.googtLe.android.sd.biz_dynamic_dex.vivo_widget,VivoAddwidgetEXxecutor .dex 
Vivo 操作 widget 添加 
com.googtlLe.android.sd.biz_dynamjic_dex,.write_settings.WriteSettingSsEXxecutor ， 
dex 操作 写 入 ContentResoLver 
com.googtlLe.android.sd.biz_dynamic_dex.xm_akasha.XmAkashaEXxecutor ,dex 

vivo 操作 备份 恢复 
com.googtLe.android.sd.biz_dynamic_dex.xm_ntf_info,XMGetNtfInfoEXecutor .dex 
操作 通知 消息 
com.googtle.android.sd.biz_dynamic_dex.xm_permission,.XMPermissionExecutor .de 


Xx miuz 操作 自 启 动 及 通知 管理 


附录 三 : 参考 链接 


。 https://www.v2ex.Com/b/851215 

。 https:/mp.weixin.qq.com/S/P_EYQxOEupqdU0BJMRqWsw 

。 https://github.cor/davinci1010/pinduoduo_backdoor 

。 https://github.comy/recorder1013/pinduoduo_backdoor_recorder 
。 https://github.com/davinci1012/pinduoduo_backdoor_ unpacker 


